CVE-2025-13803 MediaCrush HTTP头注入跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-13803

漏洞类型

XSS跨站脚本攻击

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MediaCrush

漏洞概述

CVE-2025-13803是MediaCrush 1.0.0和1.0.1版本中的一个高危安全漏洞。该漏洞位于mediacrush/paths.py文件的Header Handler组件中，攻击者可以通过操纵HTTP请求中的Host头部参数来注入恶意脚本代码。由于程序对HTTP头部未进行适当的过滤和转义处理，导致攻击者可以在受害者浏览器中执行任意JavaScript代码。此漏洞无需认证即可利用，攻击者可远程发起攻击。成功利用此漏洞可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于MediaCrush是一个媒体分享平台，用户量较大，该漏洞影响范围较广。建议受影响的用户尽快升级到最新版本或采取临时缓解措施。CVSS评分7.3，属于高危漏洞，需要优先处理。

技术细节

该漏洞的根本原因在于MediaCrush应用对HTTP请求头部的处理存在安全缺陷。在mediacrush/paths.py文件的Header Handler组件中，程序直接使用HTTP请求中的Host头部参数而未进行充分的输入验证和输出编码。当攻击者构造包含恶意JavaScript代码的Host头部时，这些未经处理的数据会被直接返回给客户端浏览器，从而触发跨站脚本执行。攻击者可以利用此漏洞在页面中注入恶意脚本，通过社工手段诱导其他用户访问恶意链接，从而窃取用户的会话cookie、凭据或其他敏感信息。由于该漏洞的攻击向量为网络层面且无需认证，攻击门槛较低，具备基本黑客知识的攻击者即可成功利用。防御此类漏洞需要在服务端对所有用户输入进行严格的输入验证，并在输出时进行适当的HTML编码或转义。

攻击链分析

STEP 1

步骤1

攻击者识别目标MediaCrush服务器版本（1.0.0或1.0.1）

STEP 2

步骤2

构造包含恶意JavaScript代码的HTTP Host头部请求

STEP 3

步骤3

发送恶意请求到目标服务器的/mediacrush/paths.py端点

STEP 4

步骤4

服务器未对Host头部进行过滤，直接将恶意代码返回给客户端

STEP 5

步骤5

受害者在浏览器中访问被注入的页面，触发XSS执行

STEP 6

步骤6

攻击者通过XSS窃取用户cookie、会话令牌或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-13803 PoC - MediaCrush HTTP Header Injection XSS
# Target: MediaCrush 1.0.0/1.0.1
# Component: /mediacrush/paths.py Header Handler

target_url = "http://target-server:5000"  # Replace with actual target

# Malicious Host header with XSS payload
headers = {
    "Host": "<script>alert(document.cookie)</script>",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
    "Accept": "text/html,application/xhtml+xml"
}

try:
    response = requests.get(target_url, headers=headers, timeout=10)
    print(f"Status Code: {response.status_code}")
    print(f"Response Headers: {response.headers}")
    
    # Check if payload is reflected in response
    if "<script>alert" in response.text or "<script>alert" in str(response.headers):
        print("[+] VULNERABLE: XSS payload reflected in response")
    else:
        print("[-] May not be vulnerable or payload not reflected")
except requests.exceptions.RequestException as e:
    print(f"[-] Request failed: {e}")

影响范围

MediaCrush 1.0.0

MediaCrush 1.0.1

防御指南

临时缓解措施

在官方修复版本发布前，可通过以下措施临时缓解：1) 在反向代理层（如Nginx）配置Host头部白名单验证；2) 部署WAF规则过滤包含<script>等XSS特征字符的请求头；3) 禁用不必要的HTTP头部回显；4) 对所有用户输入实施严格的输入验证和输出编码。建议尽快升级到官方发布的安全版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-13803
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-13803
3 Details https://www.cvedetails.com/cve/CVE-2025-13803/
4 VulDB https://vuldb.com/cve/CVE-2025-13803
5 Link https://github.com/lakshayyverma/CVE-Discovery/blob/main/mediacrush.md
6 Link https://vuldb.com/?ctiid.333813
7 Link https://vuldb.com/?id.333813
8 Link https://vuldb.com/?submit.691857