CVE-2025-58070CVE-2025-58070是Pleasanter应用程序中一个中危级别的存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于Pleasanter的附件预览功能中,CVSS评分达到6.1,属于中等严重程度。攻击者可以利用此漏洞在用户上传的附件预览过程中注入恶意JavaScript代码。当其他用户访问或预览这些被植入恶意代码的附件时,攻击者的脚本将在受害者浏览器中执行,从而实现会话劫持、敏感信息窃取、钓鱼攻击等恶意操作。由于该漏洞为存储型XSS,恶意代码会永久保存在服务器端,所有访问该附件的用户都会受到攻击影响。漏洞的利用需要用户交互(预览附件),但无需进行身份认证,这增加了漏洞的利用可能性和影响范围。
该漏洞是Pleasanter在处理附件预览功能时,对用户上传的文件内容缺乏充分的输入验证和输出编码。当用户上传包含恶意脚本的附件文件(如HTML文件、SVG图像或带有脚本内容的文件)后,系统在预览该附件时直接渲染文件内容而未进行适当的HTML转义或内容类型限制。攻击者可以构造一个包含<script>标签或事件处理器(如onerror、onload)的附件文件,当受害者预览该附件时,浏览器会执行注入的JavaScript代码。攻击者可以利用此漏洞窃取用户的会话Cookie、模拟用户操作、修改页面内容或重定向用户到恶意网站。由于Pleasanter是一个协作平台,攻击者只需上传恶意附件并诱导其他用户预览即可实现大范围攻击。