CVE-2025-63830CKFinder 1.4.3版本中存在一处存储型跨站脚本漏洞(XSS)。该漏洞源于文件上传功能对SVG文件的过滤机制不完善,允许攻击者上传包含恶意活动内容的SVG文件。攻击者可以构造包含JavaScript代码的SVG文档,当其他用户访问或预览这些文件时,恶意脚本将在受害者浏览器中执行。这可能导致会话劫持、敏感信息窃取、钓鱼攻击或对用户进行进一步的攻击。由于该漏洞影响文件上传功能,攻击面相对较大,任何能够上传文件的服务端用户都可能成为潜在攻击者。漏洞的利用不需要特殊的权限,但需要一定的用户交互来触发恶意脚本的执行。
该漏洞的核心问题在于CKFinder的文件上传模块未能对SVG文件内容进行充分的安全过滤。SVG(Scalable Vector Graphics)是一种基于XML的矢量图形格式,支持内联脚本和事件处理器。攻击者可以创建一个包含<script>标签或事件属性(如onload、onerror等)的SVG文件,并将其作为普通图片上传到服务器。由于CKFinder在上传时仅检查文件扩展名而未验证SVG内容安全性,恶意文件被成功存储。当用户通过CKFinder的文件浏览器浏览或预览这些SVG文件时,浏览器会解析SVG并执行其中的脚本代码。攻击者可以利用此漏洞窃取用户的认证Cookie、模拟用户操作或重定向用户到恶意网站。攻击成功的关键在于SVG文件能够绕过服务器的MIME类型检查并被浏览器正确解析执行。