漏洞关键信息 标题: Grandstream GXP1625 1.0.7.4 xss 描述: - 正常用户通过更新系统变量可以注入XSS负载到网络状态信息中。 - 在端点'/cgi-bin/api.values.post'可以更新系统变量。然后正常用户可以调用该端点更新vpn_ip。更新后的值将存储在系统中。每次访问网络状态时都会触发XSS漏洞。 - 其中一种用法是窃取admin的cookie进行进一步操作。 报告链接: - https://drive.google.com/file/d/1rsskCaj4TwiaGG9_VYabjnKMP_zAry7L/view?usp=sharing 源地址: - https://drive.google.com/file/d/1rsskCaj4TwiaGG9_VYabjnKMP_zAry7L/view?usp=sharing 提交人: - 用户: cccll (UID 92824) 提交日期: - 2025年11月20日 03:11 PM (17天前) 审核日期: - 2025年12月6日 03:01 PM (16天后) 状态: - 已接受 VulDB 编号: - 234506 涉及的漏洞: - Grandstream GXP1625 1.0.7.4 网络状态页面 /cgi-bin/api.values.post vpn_ip 跨站脚本 分数: - 20