CVE-2025-66939CVE-2025-66939是66biolinks链接管理工具中的一个存储型跨站脚本(Stored XSS)漏洞,影响版本v.61.0.1。该漏洞允许未经认证的攻击者通过上传精心制作的恶意favicon文件,在目标网站上执行任意JavaScript代码。66biolinks是一款由AltumCode开发的社交媒体链接管理平台,广泛应用于个人和商业网站。当用户访问包含恶意favicon的页面时,攻击者注入的恶意脚本会在受害者浏览器中执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全后果。由于该漏洞影响产品的广泛使用,CVSS评分达到5.4(中等严重程度),攻击复杂度低且无需认证即可实施,但需要用户交互才能触发,使得漏洞实际利用需要一定的社会工程手段配合。
该XSS漏洞存在于66biolinks的favicon上传功能模块中。攻击者利用该漏洞的原理如下:首先,攻击者构造一个包含恶意JavaScript代码的SVG或ICO文件作为favicon。SVG格式允许嵌入JavaScript代码,当浏览器解析该SVG文件时,会执行其中的脚本代码。攻击者将恶意favicon文件上传到66biolinks服务器,由于应用层未对上传的favicon内容进行充分的输入验证和输出编码,恶意代码被存储在服务器端。当其他用户访问包含该favicon的页面时,浏览器会自动请求并加载这个恶意的favicon文件。浏览器在解析SVG favicon时,会执行其中嵌入的JavaScript代码,从而实现XSS攻击。攻击者可以利用此漏洞窃取用户的会话Cookie、劫持用户账户、进行钓鱼攻击或植入进一步的攻击payload。由于favicon在几乎所有页面都会加载,攻击范围覆盖整个受影响的网站。