关键信息总结 漏洞名称: - STVS ProVision 5.9.10 Authenticated Reflected Cross-Site Scripting via Files Parameter 严重性: - Medium 日期: - December 31, 2025 影响版本: - STVS ProVision 5.9.10, 5.9.9, 5.9.7, 5.9.1, 5.9.0, 5.8.6, 5.7, 5.6, 5.5 漏洞类型与ID: - CVE:CVE-2021-47725 - CWE:CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CVSS评级: - 6.1/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 参考资料: - Zero Science Lab Disclosure (ZSL-2021-5624) - Packet Storm Security Exploit Entry - CXSecurity Vulnerability Listing - IBM X-Force Vulnerability Exchange - Vendor Homepage 发现者: - LiquidWorm as Gjoko Krstic of Zero Science Lab 漏洞描述: - STVS ProVision 5.9.10的'files' POST参数中存在一个跨站脚本漏洞,允许经过身份验证的攻击者注入任意HTML代码。攻击者可以利用此未经验证的输入,在受影响站点的上下文中,在用户的浏览器会话中执行恶意脚本。