DNN Platform SVG文件上传XSS漏洞 (CVE-2025-64094)

漏洞信息

漏洞编号

CVE-2025-64094

漏洞类型

XSS跨站脚本攻击

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

DNN Platform (formerly DotNetNuke)

漏洞概述

CVE-2025-64094是DNN Platform中的一个存储型跨站脚本(XSS)漏洞。DNN是一个基于Microsoft生态系统的开源Web内容管理平台(CMS)。该漏洞源于在10.1.1版本之前，系统对用户上传的SVG文件内容进行清理时未能覆盖所有可能的XSS攻击场景。攻击者可以利用此漏洞通过上传恶意构造的SVG文件，在其他用户访问包含该文件的页面时执行任意JavaScript代码，从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。此漏洞是对前一个XSS漏洞CVE-2025-48378的不完整修复，表明SVG文件处理的安全性存在持续性挑战。由于SVG格式支持内联JavaScript和事件处理器，攻击者可以绕过传统的HTML过滤机制。CVSS 3.1评分6.4(中危)反映了该漏洞可通过网络利用、需要低权限认证但不影响系统可用性的特点。

技术细节

该漏洞的核心问题在于DNN Platform对SVG文件内容的sanitization(清理)机制存在缺陷。SVG(可缩放矢量图形)是一种XML格式，支持内联脚本、事件处理器(如onload、onerror)和外部实体引用。攻击者可以构造包含恶意JavaScript的SVG文件，利用SVG的特殊属性绕过常规的HTML过滤规则。具体来说，攻击者可能使用以下技术：1) 使用SVG标签的onload事件自动执行脚本；2) 利用SVG的foreignObject元素嵌入HTML内容；3) 使用XML实体引用绕过过滤。修复版本10.1.1对SVG清理逻辑进行了增强，但漏洞的根源在于对CVE-2025-48378的修复不完整，暗示可能存在特定的SVG标签或属性组合未被正确处理。攻击者需要具备上传文件权限(低权限要求)，上传恶意SVG文件后，当其他用户访问包含该文件的页面时，恶意脚本将在受害者浏览器上下文中执行。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者识别目标网站使用DNN Platform CMS，检查版本号确认是否低于10.1.1

STEP 2

步骤2: 获取上传权限

攻击者注册账户并获得低权限用户权限(如注册用户或内容编辑者)

STEP 3

步骤3: 构造恶意SVG文件

攻击者创建包含XSS payload的恶意SVG文件，利用SVG的onload事件、foreignObject或其他技术绕过过滤

STEP 4

步骤4: 上传恶意文件

通过DNN的文件上传功能(如新闻、页面或媒体管理模块)上传恶意SVG文件到服务器

STEP 5

步骤5: 触发XSS执行

诱导其他用户(管理员或普通用户)访问包含恶意SVG文件的页面，触发自动执行的JavaScript代码

STEP 6

步骤6: 窃取敏感信息或劫持会话

通过XSS payload窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-64094 PoC - Malicious SVG file for XSS -->
<svg xmlns="http://www.w3.org/2000/svg">
  <!-- Basic onload XSS -->
  <script>alert(document.cookie)</script>
  
  <!-- Alternative: using foreignObject to embed HTML with JavaScript -->
  <foreignObject width="100" height="100">
    <div xmlns="http://www.w3.org/1999/xhtml">
      <img src="x" onerror="alert(document.domain)" />
    </div>
  </foreignObject>
  
  <!-- Alternative: using animate to trigger event -->
  <animate onbegin="alert(document.cookie)" attributeName="x" dur="1s" />
</svg>

<!-- Usage: Upload this SVG file to DNN Platform < 10.1.1,
     then access the file URL to trigger XSS payload -->

影响范围

DNN Platform < 10.1.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 禁用SVG文件上传功能；2) 在Web应用防火墙(WAF)规则中阻止包含<script>、onload、onerror等危险标签的SVG文件上传；3) 对上传的SVG文件进行服务器端深度检测，移除所有脚本相关元素；4) 设置严格的Content-Security-Policy响应头限制脚本执行；5) 监控异常的文件上传行为。