以下是该网页截图中关于漏洞的关键信息,简洁地用Markdown格式整理如下: --- 漏洞概述 CVE编号: CVE-2025-65229 受影响软件: Lyrion Music Server(LMS)版本 ≤ 9.0.3(原名 Logitech Media Server) 漏洞类型: 存储型跨站脚本(Stored XSS) 描述: 通过 字段注入恶意HTML/JavaScript,数据未被正确编码输出即被渲染。 后果:任何查看该玩家信息的用户(包括管理员)都会在浏览器中执行恶意脚本。 漏洞严重性 等级: High 潜在影响: 会话劫持 / 账号接管(尤其是管理员账号) 伪造管理行为(通过脚本请求绕过CSRF) 泄露敏感的服务器/玩家信息 完全控制Web管理接口 攻击前提 攻击者需有合法登录账号,并具有访问 的权限(多数安装下默认允许)。 影响示例(真实攻击场景) 若管理员查看了被篡改的玩家信息,攻击者可使用以下有效载荷完全控制会话、执行特权操作: 供应商响应 漏洞已得到认可和验证;修正计划在2025年12月后的版本(如 9.0.4 或者此后测试版)发布时进行。 缓解措施 1. 立即升级到Lyrion Music Server > 9.0.3(一旦补丁版本发布)。 2. 临时方案(在补丁可用前): - 限制 访问权限仅限信任管理员(如果环境支持用户权限管理)。 - 禁用或限制定非可信用户/网络访问Web界面。 - 通过自定义验证机制手工清理玩家名称中的HTML特殊字符(代码调整必要)。 相关引用 官方项目:https://lyrion.org/