CVE-2025-66459CVE-2025-66459是Lookyloo项目中的一个存储型跨站脚本(XSS)漏洞。Lookyloo是一个开源的Web界面工具,允许用户捕获网站页面并生成域名调用关系的树状图。该漏洞存在于1.35.3之前的版本中,当用户提交包含恶意HTML内容的URL列表进行捕获时,如果捕获失败,系统会在错误消息中直接回显用户输入的URL内容,而未进行适当的输入验证和输出编码。这使得攻击者可以在错误提示区域注入恶意JavaScript代码,当其他用户查看该错误信息时,恶意脚本将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取或其他客户端攻击。漏洞的CVSS评分为6.1,属于中等严重程度,需要用户交互才能触发。
该漏洞的根本原因在于Lookyloo对用户输入的URL缺乏充分的输入验证和输出编码。当用户通过Web界面提交URL列表进行页面捕获时,系统会将这些URL传递给后端处理模块。如果某个URL包含HTML标签(如<script>alert(1)</script>),且该URL的捕获操作失败,系统会在错误响应中直接包含这个未经过滤的URL字符串。在渲染错误消息的模板中,这个恶意字符串被直接插入到HTML内容中,而没有进行HTML实体编码或内容安全策略(CSP)的保护。攻击者可以利用这一漏洞注入任意JavaScript代码,这些代码会在后续用户查看相关错误日志时执行。漏洞影响所有使用Lookyloo Web界面的用户,特别是在团队协作环境中,攻击者可以通过诱导其他用户查看特定的捕获错误来扩大攻击面。修复版本1.35.3通过添加输入验证和输出编码来解决此问题。