CVE-2025-59788CVE-2025-59788是Nextcloud中一个存储型跨站脚本(XSS)漏洞。该漏洞存在于files_pdfviewer组件的示例目录中,攻击者可以通过上传精心构造的PDF文件到viewer.html,在受害用户浏览器中执行任意JavaScript代码。此漏洞与CVE-2024-4367相关,但根本原因在于Nextcloud在同源基础上暴露了可执行的示例代码。攻击者利用此漏洞可以窃取用户会话Cookie、劫持用户账户、执行未经授权的操作,甚至进一步渗透内部系统。由于该漏洞无需用户交互即可触发(UI:N),且可通过网络远程利用(AV:N),对Nextcloud实例构成中等程度的安全威胁。受影响的版本覆盖22.x至32.x多个版本分支。
该漏洞的根本原因在于Nextcloud的files_pdfviewer组件在安装时保留了示例代码目录,且这些示例代码在同源环境下可被直接访问和执行。当用户通过Nextcloud的PDF查看器打开一个包含恶意JavaScript代码的PDF文件时,viewer.html会解析并执行PDF中嵌入的脚本内容。攻击者首先需要将恶意PDF文件上传到Nextcloud服务器,然后诱使受害用户打开该文件。由于Nextcloud的PDF查看器直接渲染PDF内容且缺乏足够的输入过滤和输出编码,PDF中的JavaScript代码会在受害用户的浏览器上下文中以当前域名执行,从而实现XSS攻击。攻击者可以利用此漏洞获取用户的认证令牌、访问敏感数据或执行其他恶意操作。此漏洞的CVSS向量显示攻击复杂度低(AC:L)且需要低权限(PR:L),意味着具有一定文件上传权限的普通用户即可实施攻击。