CVE-2025-66403CVE-2025-66403是FileRise文件管理器中的一个存储型跨站脚本(XSS)漏洞。FileRise是一款自托管的基于Web的文件管理器,支持多文件上传、编辑和批量操作。该漏洞存在于2.2.3之前的版本中,源于应用程序对用户上传的SVG文件处理不当。攻击者可以上传包含恶意JavaScript代码或事件触发型载荷的SVG文件,当其他用户在应用内查看这些文件时,嵌入在SVG中的脚本代码会在应用源上下文中执行。由于SVG是XML格式且支持脚本执行,这使得攻击者能够窃取用户会话Cookie、劫持用户账户、执行未经授权的操作,甚至可能进一步横向移动攻击。由于该漏洞为存储型XSS,恶意代码会持久化保存在服务器上,所有访问该文件的用户都会受到影响。漏洞已于2.2.3版本中修复。
FileRise应用在处理文件上传时,未对SVG文件内容进行充分的 sanitization(消毒)和 validation(验证)。SVG(可缩放矢量图形)是基于XML的图像格式,标准SVG规范允许在<script>标签中嵌入JavaScript代码,或通过事件属性(如onload、onerror、onclick等)触发脚本执行。攻击者可以利用这一特性构造恶意SVG文件,上传到服务器后,当其他用户通过应用的文件预览功能查看该SVG时,浏览器会将其作为HTML的一部分渲染,从而触发其中嵌入的JavaScript代码。由于SVG在应用的origin上下文中执行,攻击脚本可以访问该域下的所有资源,包括用户的认证令牌、API密钥、页面内容等。攻击者通常会窃取用户的会话Cookie或执行API请求来提升权限。修复措施包括:在文件上传时对SVG内容进行严格过滤,移除所有脚本标签和事件属性;或者在响应头中设置Content-Disposition: attachment,强制下载而非直接渲染。