CVE-2025-59025CVE-2025-59025是Open-Xchange App Suite中的一个存储型跨站脚本(XSS)漏洞,CVSS评分6.1,中危级别。该漏洞源于邮件内容处理过程中对恶意脚本代码的过滤不完善,攻击者可以通过构造包含恶意JavaScript代码的邮件内容来绕过安全检查。当受害者查看或预览此类邮件时,嵌入的恶意脚本代码会在其浏览器上下文中执行,从而窃取敏感信息、劫持会话令牌或执行未授权操作。攻击者可利用此漏洞在受害者账户上下文中执行任意脚本代码,窃取联系人信息、邮件内容、认证凭证等敏感数据。Open-Xchange已发布安全更新修复此漏洞,用户应及时升级到最新版本以消除安全风险。
该漏洞属于存储型跨站脚本(CWE-79)漏洞,存在于Open-Xchange App Suite的邮件处理模块中。攻击者通过发送包含恶意JavaScript代码的邮件,当邮件被服务器接收并存储后,消毒处理未能正确过滤特定的XSS payload。受害者通过Webmail界面查看邮件时,恶意脚本会在其浏览器中执行。由于攻击发生在用户账户上下文中,恶意代码可以访问该用户的会话信息、执行操作或窃取数据。CVSS向量显示攻击复杂度低(AC:L),无需认证(PR:N)即可发起攻击,但需要用户交互(UI:R)查看邮件。漏洞影响机密性和完整性均为低级别(C:L/I:L),可用性不受影响(A:N)。攻击者通常利用HTML邮件中的script标签、事件处理器(如onerror、onload)或javascript:伪协议来触发恶意代码执行。