CVE-2025-68928CVE-2025-68928是Frappe CRM中的一个存储型跨站脚本(XSS)漏洞。Frappe CRM是一款开源的客户关系管理工具。该漏洞存在于1.56.2之前的版本,认证用户可以在网站的URL字段中注入恶意构造的JavaScript代码。由于该字段未进行适当的输入清理和输出编码,当其他用户访问包含恶意脚本的页面时,攻击者注入的脚本将在受害者浏览器中执行。攻击者可利用此漏洞窃取会话cookie、劫持用户账户、修改页面内容或进行钓鱼攻击。由于CVSS评分为5.4(中危),且需要用户交互和低权限认证才能利用,漏洞的实际危害相对有限,但仍需及时修复。
该漏洞是典型的存储型XSS(Stored XSS)漏洞。在Frappe CRM的网站字段功能中,系统允许已认证用户在CRM记录中设置URL值。问题在于后端未对用户输入的URL进行充分的输入验证和sanitization处理。当含有恶意JavaScript代码的URL被保存到数据库后,系统在后续页面渲染时直接将该值输出到HTML中而未进行适当的输出编码。攻击者可通过构造类似javascript:alert(document.cookie)的URL值,当其他用户查看包含该字段的页面时,恶意脚本将在其浏览器上下文中执行。由于该漏洞位于用户资料或联系人信息等常见功能点,攻击面相对较广。修复版本1.56.2通过在输入端增加URL白名单验证和输出端增加HTML转义来解决此问题。