CVE-2025-65790CVE-2025-65790是FuguHub 8.1版本中存在的一个反射型跨站脚本(XSS)漏洞。该漏洞位于FuguHub的Web文件管理器接口中,当通过/fs/路径提供SVG文件时,应用程序未能对SVG内容中的恶意脚本进行适当的清理和过滤。攻击者可以利用此漏洞在受害者的浏览器中执行任意JavaScript代码,从而窃取会话Cookie、劫持用户账户、执行恶意操作或进行钓鱼攻击。由于该漏洞需要用户交互(用户需要主动打开恶意SVG文件),因此攻击复杂度较高,但仍然对使用FuguHub文件管理功能的用户构成安全威胁。FuguHub是一款轻量级的Web文件服务器和云存储解决方案,广泛应用于个人和小型企业的文件共享场景,因此该漏洞可能影响大量部署该产品的环境。
该漏洞的根本原因在于FuguHub 8.1的文件管理器接口(/fs/路径)在处理SVG文件时,未对SVG内容中的<script>标签或其他可能执行JavaScript的元素进行过滤或内容安全策略(CSP)限制。当用户请求一个包含恶意JavaScript代码的SVG文件时,服务器直接返回该文件内容,浏览器在解析SVG时会执行其中的内联脚本。攻击者可以通过构造特殊的SVG文件,在其中嵌入<script>alert(document.cookie)</script>等JavaScript代码,然后诱使受害者访问该文件。由于SVG文件可以通过<img>标签或直接URL访问的方式被触发,攻击者可以轻易地在钓鱼邮件或恶意网页中嵌入指向该恶意SVG文件的链接。当受害者点击链接并打开SVG文件时,恶意JavaScript代码将在受害者的浏览器上下文中执行,从而实现对用户会话的劫持或其他恶意操作。