CVE-2025-12246 CVSS 4.3 中危

CVE-2025-12246 Chatwoot IframeLoader.vue 跨站脚本漏洞

披露日期: 2025-10-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12246

漏洞类型

XSS（跨站脚本）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Chatwoot

漏洞概述

CVE-2025-12246是Chatwoot 4.7.0及之前版本中的一个存储型跨站脚本（XSS）漏洞。该漏洞存在于Admin Interface的IframeLoader.vue组件中，攻击者可以通过构造恶意的Link参数来注入JavaScript代码。当其他用户访问包含恶意脚本的页面时，脚本将在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取或进一步的恶意操作。由于该漏洞位于管理界面，攻击成功后可能获取管理员权限，对系统安全构成严重威胁。

技术细节

该漏洞源于IframeLoader.vue组件对用户输入的Link参数缺乏充分的输入验证和输出编码。攻击者可在Link参数中注入<script>标签或其他JavaScript事件处理器，当页面渲染时，恶意脚本会被执行。由于漏洞位于Admin Interface中，攻击者需要具有管理员权限或通过其他方式诱导管理员访问恶意链接。修复措施包括对所有用户输入进行严格的输入验证和使用HTML实体编码对输出进行转义。

攻击链分析

STEP 1

攻击者获取管理员权限或诱导管理员访问恶意链接

STEP 2

通过IframeLoader.vue的Link参数注入恶意JavaScript代码

STEP 3

管理员访问页面时，恶意脚本在其浏览器中执行

STEP 4

攻击者通过脚本窃取会话令牌或执行管理员操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

payload = '<script>alert(document.cookie)</script>'
# 构造恶意链接
malicious_link = f'http://target-chatwoot/admin/iframe_loader?link={payload}'
print(f'PoC: {malicious_link}')

影响范围

Chatwoot <= 4.7.0

防御指南

临时缓解措施

立即升级Chatwoot至最新版本；若无法立即升级，可临时禁用IframeLoader组件并实施严格的输入验证机制。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12246
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12246
3 Details https://www.cvedetails.com/cve/CVE-2025-12246/
4 VulDB https://vuldb.com/cve/CVE-2025-12246
5 Link https://hckwr.com/blog/multiple-vulnerabilities-in-chatwoot/
6 Link https://vuldb.com/?ctiid.329917
7 Link https://vuldb.com/?id.329917
8 Link https://vuldb.com/?submit.673801

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表