CVE-2025-64442CVE-2025-64442是HumHub开源企业社交网络平台中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于Meta-Search元搜索功能中,攻击者可以通过在搜索功能中注入恶意脚本代码,当其他用户在搜索预览中查看相关内容时,恶意代码会在受害者浏览器中执行。漏洞影响1.17.4之前的所有版本,CVSS评分6.1,属于中危级别。由于该漏洞需要用户交互才能触发,攻击者通常需要诱导受害者查看包含恶意脚本的搜索结果页面。成功利用此漏洞可能导致窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或在受害者浏览器中执行任意JavaScript代码。该漏洞由GitHub安全团队发现并报告,已在1.17.4版本中修复。
该漏洞是HumHub企业社交网络的Meta-Search功能中存在的存储型XSS漏洞。攻击者利用搜索功能对用户输入内容缺乏充分的输入验证和输出编码,当包含恶意JavaScript代码的搜索关键词被存储后,其他用户访问搜索预览功能时,浏览器会解析并执行这段恶意脚本。攻击向量为网络攻击,复杂度低,无需认证但需要用户交互(UI:R)。由于CVSS向量中S:C(改变范围),意味着攻击成功可能影响其他组件。攻击者通常会在搜索框中输入类似<script>alert(document.cookie)</script>的payload,或使用事件处理器如<img src=x onerror=...>等变形代码。由于是存储型XSS,恶意代码会持久存在于系统中,所有访问相关搜索结果的用户都会受到影响。修复方案为对用户输入进行严格的HTML实体编码,并在输出时进行上下文感知的转义处理。