CVE-2025-41079CVE-2025-41079是Seafile v12.0.10中发现的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于Seafile的API接口中,攻击者可以通过PUT请求的参数'name'向'/api/v2.1/user/'端点注入恶意JavaScript代码。由于该载荷会存储在服务器端,所有访问受影响数据的用户都会在浏览器中执行这段恶意代码。攻击者可利用此漏洞窃取用户会话cookie、劫持用户账户、修改页面内容或进行钓鱼攻击。此漏洞不需要任何认证权限,但需要诱导受害者进行某种交互操作,如访问特定页面或触发相关功能。CVSS 3.1评分6.1属于中等严重程度,主要因为其对机密性和完整性的影响为低级别,且需要用户交互才能成功利用。
该存储型XSS漏洞源于Seafile v12.0.10在处理用户输入时缺乏充分的输入验证和输出编码。攻击者构造恶意的JavaScript代码作为'name'参数值,通过PUT请求发送到'/api/v2.1/user/'端点。服务器直接将此恶意载荷存储在数据库中,未进行任何安全过滤或HTML实体编码。当其他用户通过Web界面访问或触发相关功能时,受害者的浏览器会从服务器获取并渲染这段未经过滤的内容,从而执行攻击者注入的JavaScript代码。由于是存储型XSS,恶意代码会持久存在于系统中,所有访问相关数据的用户都会受到影响。攻击者通常会利用此漏洞窃取用户的认证令牌或会话ID,进而冒充合法用户进行操作。