CVE-2025-15144 CVSS 4.3 中危

CVE-2025-15144 dayrui XunRuiCMS JSONP Callback XSS漏洞

披露日期: 2025-12-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-15144

漏洞类型

跨站脚本（XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

dayrui XunRuiCMS

漏洞概述

dayrui XunRuiCMS 4.7.1及之前版本存在存储型XSS漏洞，源于JSONP回调函数对用户输入验证不足。攻击者通过构造恶意callback参数，可在用户浏览器中执行任意JavaScript代码，窃取会话令牌或进行钓鱼攻击。

技术细节

漏洞位于/dayrui/Fcms/Init.php的dr_show_error/dr_exit_msg函数中，该函数处理JSONP请求的callback参数时未进行适当过滤。攻击者可在callback参数中注入<script>标签或JavaScript事件处理器，当其他用户访问包含恶意callback的页面时，XSS payload会被执行。

攻击链分析

STEP 1

信息收集

攻击者识别目标站点使用dayrui XunRuiCMS并定位JSONP端点

STEP 2

漏洞探测

通过注入XSS payload测试callback参数是否存在过滤

STEP 3

payload注入

在callback参数中注入恶意JavaScript代码

STEP 4

会话劫持

利用XSS获取用户cookie或进行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

https://target-site.com/?callback=<script>alert(document.cookie)</script>

影响范围

dayrui XunRuiCMS <= 4.7.1

防御指南

临时缓解措施

在Web应用防火墙中配置规则，过滤callback参数中的特殊字符；使用Content-Security-Policy头限制脚本执行

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15144
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15144
3 Details https://www.cvedetails.com/cve/CVE-2025-15144/
4 VulDB https://vuldb.com/cve/CVE-2025-15144
5 Link https://note-hxlab.wetolink.com/share/gbCf35DJ3los
6 Link https://vuldb.com/?ctiid.338522
7 Link https://vuldb.com/?id.338522
8 Link https://vuldb.com/?submit.716122

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表