CVE-2025-69210CVE-2025-69210是FacturaScripts开源ERP和会计软件中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于产品的文件上传功能中,影响版本低于2025.7。攻击者作为认证用户,可以上传包含恶意JavaScript代码的XML文件。当应用程序后续渲染这些文件时,由于缺少充分的输入清理和内容类型强制执行,嵌入的恶意脚本会被执行,从而实现任意JavaScript代码在受害者浏览器中运行。由于普通用户上传的产品文件对管理员用户可见,攻击者可以利用此漏洞在管理员的浏览器会话中执行恶意JavaScript代码,可能导致会话劫持、敏感信息窃取或进一步的管理权限提升等严重后果。该漏洞的CVSS评分为5.4,属于中等严重程度,攻击向量为网络,攻击复杂度低,但需要低权限用户认证和用户交互才能成功利用。
该漏洞的根本原因在于FacturaScripts的产品文件上传功能对用户上传的XML文件缺乏充分的安全验证。具体表现为:1) 上传功能未对XML文件内容进行严格的XSS过滤和清理,允许攻击者将恶意JavaScript代码嵌入XML文件中;2) 应用程序在渲染这些XML文件时未正确设置或验证Content-Type头,导致浏览器将其作为HTML或JavaScript执行;3) 文件访问路径可预测,攻击者可以构造特定的文件路径来触发恶意脚本执行。攻击者需要具备有效的用户凭证才能上传文件,上传后的恶意文件会被存储在服务器上。当管理员或其他用户访问包含恶意文件的页面时,浏览器会解析并执行嵌入的JavaScript代码。由于这是存储型XSS,恶意脚本会持久存在于服务器上,每次相关页面被访问时都会执行,形成持续性的攻击向量。修复后的版本2025.7通过增加输入验证、输出编码和严格的Content-Type检查来解决此问题。