CVE-2025-60936CVE-2025-60936是Emoncms 11.7.3版本中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞位于应用的input handling(输入处理)机制中,允许已认证的攻击者通过API接口注入恶意JavaScript代码。由于该漏洞属于存储型XSS,恶意脚本会被永久存储在系统中,当管理员或其他用户查看应用日志时,注入的恶意代码会自动执行。这可能导致会话劫持、敏感信息窃取、恶意操作执行等严重后果。攻击成功的前提是攻击者需要拥有API访问权限的认证账号,但一旦成功利用,攻击影响范围较广,因为存储型XSS会自动传播给所有查看受影响页面的用户。
该漏洞主要存在于Emoncms的input handling模块中。当用户通过API提交数据时,系统未能对用户输入进行充分的HTML转义或输入验证。攻击者可以利用API接口提交包含恶意JavaScript代码的payload,例如:<script>alert(document.cookie)</script>。由于缺乏输入过滤,该payload会被存储在数据库中。当管理员访问日志查看页面或相关功能时,服务器会将未经转义的恶意内容返回给客户端浏览器,触发XSS执行。攻击者可通过此方式窃取管理员的会话cookie、伪造管理员操作或进行钓鱼攻击。值得注意的是,该漏洞的利用需要攻击者具备有效的API认证凭证,这降低了一定的攻击门槛,但同时也意味着内部用户可能成为主要威胁来源。