漏洞概述
Altium AES 7.0.3 版本中的 BOM Viewer 组件存在一个存储型跨站脚本(XSS)漏洞。经过身份验证的攻击者可向原理图的“描述”字段注入任意 JavaScript 代码,当其他用户通过 BOM Viewer 渲染该内容时,恶意脚本将被执行。
漏洞详情
- CVE 编号:CVE-2025-27379
- 漏洞类型:存储型跨站脚本(Stored XSS,CWE-79)
- CVSS 评分:6.8(中危)
- 影响版本:Altium AES 7.0.3
影响范围
该漏洞影响 Altium AES 7.0.3 版本中使用 BOM Viewer 功能的部署环境。任何具有编辑权限的认证用户均可利用此漏洞注入恶意脚本,影响查看该内容的其他用户。
风险分析
攻击者可利用该漏洞在受害者浏览器中执行任意 JavaScript 代码,可能导致会话劫持、敏感信息泄露或对用户界面进行篡改。虽然需要低权限账户和用户交互,但由于脚本在 BOM Viewer 中持久化存储,可能对多个用户造成连锁影响,且可用性影响较高(如页面功能被破坏或拒绝服务)。
修复建议
- 建议用户及时关注并应用 Altium 官方发布的安全更新或补丁。
- 在官方修复发布前,限制对原理图描述字段的编辑权限,或对输入内容实施严格的 HTML 转义与内容安全策略(CSP)以缓解风险。
