CVE-2025-65892CVE-2025-65892是krpano软件中的一个反射型跨站脚本(rXSS)漏洞。krpano是一款流行的全景图和虚拟现实内容的创建工具,广泛应用于WebVR、全景漫游、3D场景展示等领域。该漏洞存在于krpano 1.23.2及之前版本的passQueryParameters函数中,当xml参数被启用时,攻击者可以通过构造恶意URL诱使受害者访问,从而在受害者浏览器中执行任意JavaScript代码。由于该漏洞为反射型XSS,需要用户交互(点击恶意链接)才能触发,CVSS评分为6.1(中危)。攻击成功可导致会话劫持、敏感信息窃取、恶意内容注入等危害。
该漏洞的根本原因在于krpano的passQueryParameters函数对用户输入的xml参数缺乏充分的输入验证和输出编码。当用户请求的URL中包含xml参数且该参数值未经适当过滤时,恶意脚本内容会被直接反射到响应页面中。具体攻击方式为:攻击者构造包含恶意JavaScript代码的URL链接,例如在xml参数中注入<script>alert(document.cookie)</script>等XSS payload,并诱使目标用户点击访问。由于krpano在处理URL参数时未对特殊字符进行HTML实体编码,恶意脚本将在用户浏览器中作为响应内容的一部分被解析执行。攻击者利用此漏洞可窃取用户的认证令牌、会话ID或其他敏感信息,也可篡改页面内容进行钓鱼攻击。