CVE-2025-68401ChurchCRM是一款开源的教会管理系统。在6.0.0版本之前,该应用存在存储型跨站脚本(Stored XSS)漏洞。漏洞源于应用程序在存储用户提交的HTML/JavaScript内容时,未进行充分的消毒或编码处理。当其他用户访问或查看这些包含恶意脚本的内容时,攻击者注入的JavaScript代码将在受害者浏览器中执行。此漏洞可被利用来访问Web源数据、执行特权操作,或在会话Cookie未标记HttpOnly的情况下,通过document.cookie窃取用户会话信息,从而实现账户接管。攻击者需要具有高权限才能注入恶意内容,但任何查看该内容的用户都可能成为受害者。该漏洞已于6.0.0版本中修复。
漏洞根源在于ChurchCRM对用户输入的HTML/JS内容缺乏有效的输入验证和输出编码。攻击者(需具有高权限)可在特定功能模块中注入包含恶意JavaScript的HTML内容。应用程序将该内容直接存储到数据库中,未进行XSS过滤。当其他用户浏览这些内容时,服务器将未经处理的内容直接返回给客户端浏览器。浏览器解析HTML时同时执行其中的JavaScript代码,实现XSS攻击。若目标用户会话Cookie未设置HttpOnly属性,攻击者可通过document.cookie获取会话令牌,进而伪造用户身份进行操作。攻击成功需要目标用户访问包含恶意内容的页面,且攻击者需具备内容提交权限。修复版本6.0.0增加了输入消毒和输出编码机制来防止此类攻击。