CVE-2026-25133 CVSS 4.8 中危

CVE-2026-25133 October CMS存储型XSS漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-25133

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

October CMS

漏洞概述

October CMS在3.7.14和4.1.10之前的版本中存在存储型跨站脚本（XSS）漏洞。由于SVG清理逻辑中的正则表达式存在缺陷，攻击者可以绕过事件处理程序属性的过滤，上传包含恶意JavaScript的SVG文件。当具有高权限的用户查看或嵌入该文件时，恶意代码将被执行，可能导致权限提升。

技术细节

该漏洞源于October CMS的Media Manager在处理上传的SVG文件时，用于清洗危险属性（如onclick或onload）的正则表达式匹配逻辑存在缺陷。攻击者可以通过精心构造的SVG载荷，利用属性边界匹配的绕过技巧，植入恶意的事件处理代码。由于该漏洞属于存储型XSS，恶意代码会被存储在服务器端。攻击者需要具备后端访问权限及媒体上传权限才能利用此漏洞。当管理员或其他高权限用户在后台浏览媒体库或在前端嵌入该恶意SVG时，浏览器会解析SVG并执行其中的JavaScript脚本，从而在受害者的浏览器会话中执行任意操作，可能导致会话劫持或权限提升。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获取October CMS后端账户，并拥有媒体上传权限。

STEP 2

2. 构造恶意文件

攻击者构造包含恶意JavaScript代码的SVG文件，利用正则匹配缺陷绕过清洗逻辑。

STEP 3

3. 上传恶意载荷

攻击者通过Media Manager上传恶意SVG文件，文件被成功存储在服务器上。

STEP 4

4. 触发漏洞

管理员或超级用户在后台浏览媒体库，或者在前端页面中嵌入了该恶意SVG文件。

STEP 5

5. 执行攻击

浏览器解析SVG文件，执行嵌入的JavaScript代码，攻击者可窃取管理员Session或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-25133: Stored XSS via SVG -->
<!-- This payload attempts to bypass regex sanitization -->
<svg>
  <a xmlns="http://www.w3.org/1999/xlink" href="javascript:alert('XSS')">
    <rect width="100" height="100" />
  </a>
</svg>
<!-- Alternatively using event handlers -->
<svg>
  <animate attributeName="x" dur="1s" begin="click" onbegin="alert(document.cookie)" />
</svg>

影响范围

October CMS < 3.7.14

October CMS < 4.1.10

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用SVG文件的上传功能，或使用外部工具对上传的SVG文件进行严格的安全扫描和清洗，确保移除所有事件处理属性和JavaScript代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表