CVE-2025-65675CVE-2025-65675是Classroomio LMS 0.1.13版本中存在的一个存储型跨站脚本漏洞。该漏洞允许已认证的低权限攻击者通过上传精心构造的SVG文件作为个人头像,在其他用户浏览其个人资料时执行任意JavaScript代码。由于SVG文件格式支持内嵌JavaScript脚本,当系统未对上传的SVG文件内容进行严格的安全过滤和验证时,恶意脚本会被存储在服务器上并在用户访问时自动执行。此漏洞的CVSS评分为5.4,属于中等严重程度。攻击向量为网络攻击,攻击复杂度低,但需要攻击者具有低权限账号并诱导其他用户访问包含恶意SVG的页面。攻击成功后可能导致会话劫持、敏感信息窃取、钓鱼攻击等安全问题,对系统用户数据和隐私构成威胁。
该漏洞源于Classroomio LMS在处理用户上传的头像图片时,对SVG文件格式缺乏有效的安全过滤机制。SVG(可缩放矢量图形)是一种基于XML的矢量图形格式,支持通过<script>标签内嵌JavaScript代码。系统在接受用户上传的SVG文件后,未对其进行内容清洗或MIME类型严格校验,直接将文件存储并允许其他用户访问。当受害者在浏览器中查看攻击者的个人资料页面时,浏览器会自动解析并执行SVG中嵌入的恶意JavaScript代码。由于该SVG文件存储在服务器端,每次页面加载都会触发执行,形成存储型XSS攻击。攻击者可以利用此漏洞窃取受害者的认证Cookie、劫持用户会话、执行任意DOM操作或诱导受害者进行非预期操作。修复此漏洞需要从服务器端对所有用户上传的SVG内容进行严格过滤,移除所有可执行脚本元素,或完全禁止SVG文件上传。