CVE-2025-64177 CVSS 5.4 中危

CVE-2025-64177: ThinkDashboard存储型XSS漏洞

披露日期: 2025-11-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-64177

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

ThinkDashboard

漏洞概述

ThinkDashboard是用Go和原生JavaScript构建的自托管书签仪表盘。在0.6.7及以下版本中存在存储型跨站脚本漏洞。攻击者可以利用该漏洞在仪表盘中注入恶意脚本，当其他用户访问受污染的书签时，恶意代码将在其浏览器中执行。漏洞源于系统缺乏对URL scheme的有效过滤机制，允许攻击者注入javascript:等协议前缀的恶意代码。

技术细节

这是一个典型的存储型XSS漏洞。ThinkDashboard在处理用户输入的书签URL时，没有对URL scheme进行严格的验证和过滤。攻击者可以构造包含javascript:协议的恶意URL，当其他用户点击这些书签时，浏览器会执行注入的JavaScript代码。攻击者可以窃取用户会话cookie、劫持用户账户或进行其他恶意操作。修复版本0.6.8已加强URL scheme的过滤机制。

攻击链分析

STEP 1

步骤1

攻击者注册ThinkDashboard账户并创建恶意书签

STEP 2

步骤2

书签URL字段注入javascript:alert(document.cookie)等恶意代码

STEP 3

步骤3

其他用户访问受污染的书签页面

STEP 4

步骤4

恶意JavaScript代码在用户浏览器中执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

javascript:alert(document.cookie)

影响范围

ThinkDashboard <= 0.6.7

防御指南

临时缓解措施

如果无法立即升级，可临时禁用书签点击功能或手动过滤URL中的javascript:等协议

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表