漏洞概述
Altium Enterprise Server(AES)7.0.3 版本在所有平台上存在 HTML 注入漏洞。经过身份验证的攻击者可通过构造恶意 HTML 内容,在受害者的浏览器中执行任意 JavaScript 代码,从而可能导致敏感信息泄露或其他客户端攻击。
漏洞详情
- CVE 编号:CVE-2025-27380
- 漏洞类型:HTML 注入(CWE-79)
- CVSS 评分:7.6(HIGH)
- 影响版本:Altium Enterprise Server 7.0.3(所有平台)
影响范围
该漏洞影响 Altium Enterprise Server 7.0.3 版本,适用于所有支持的操作系统平台。任何使用该版本的用户若未及时更新,均可能受到此漏洞的影响。
风险分析
由于漏洞允许已认证用户注入并执行任意 JavaScript 代码,攻击者可利用此漏洞窃取会话 Cookie、执行跨站请求伪造(CSRF)或进行钓鱼攻击,进而获取受害者账户的敏感信息。尽管需要低权限账户和用户交互,但其作用域为“已更改”(Scope: Changed),意味着可影响其他用户,因此风险等级较高。
修复建议
- 建议用户尽快升级至 Altium 官方发布的安全版本,以修复该漏洞。
- 在官方补丁发布前,应限制非必要用户的项目发布权限,并对输入内容进行严格过滤与转义,防止恶意 HTML 注入。
