CVE-2025-63419CVE-2025-63419是CrushFTP 11.3.6_48版本中发现的一个跨站脚本(XSS)漏洞。该漏洞存在于CrushFTP的Web-Based Server文件分享功能中。攻击者可以利用此漏洞通过文件分享功能将恶意构造的文件名注入到邮件正文字段中,由于该字段未对用户输入进行充分的消毒处理,导致HTML注入和存储型XSS攻击。攻击成功后可窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意内容。该漏洞需要用户交互才能触发,攻击者需诱骗受害者访问包含恶意脚本的页面。由于CVSS评分为6.1(中危),且攻击复杂度低、无需认证即可实施,因此建议尽快进行修复。
该漏洞为存储型XSS漏洞,存在于CrushFTP的文件分享功能模块。当用户通过Web界面分享文件时,系统会将文件名反射到邮件正文中用于通知收件人。问题在于程序直接使用用户提供的文件名而未进行任何HTML实体编码或输入验证。攻击者可以构造包含恶意JavaScript代码的文件名(如:<script>alert(document.cookie)</script>),当受害者打开包含该文件名的邮件通知时,恶意脚本将在其浏览器上下文中执行。由于是存储型XSS,恶意脚本会持久存在于服务器端,所有查看该通知的用户都会受到影响。攻击者可利用窃取的Cookie进行会话劫持,或在网页中插入虚假内容进行钓鱼攻击。修复方案需在文件分享功能处对文件名进行HTML实体编码,转义<、>、"、'等特殊字符。