CVE-2025-68927：CWE-79：abhinavxd libredesk中网页生成期间输入中和不当（跨站脚本）

严重性：高 类型：漏洞 CVE：CVE-2025-68927

Libredesk是一个自托管的客户服务台。在0.8.6-beta版本之前，LibreDesk的联系人备注功能存在存储型HTML注入漏洞。当通过POST /api/v1/contacts/{id}/notes添加备注时，后端会自动将用户输入包裹在<p>标签中。然而，攻击者可以通过拦截请求并移除<p>标签，注入任意的HTML元素，如表单和图像。这些恶意内容随后在没有经过适当净化的情况下被存储和渲染。这可能导致网络钓鱼、CSRF式的强制操作以及界面伪装攻击。此问题已在0.8.6-beta版本中修复。

AI分析

技术摘要

CVE-2025-68927是在LibreDesk自托管客户服务台软件中发现的一个存储型跨站脚本漏洞，归类于CWE-79。该漏洞影响0.8.6-beta之前的所有版本。LibreDesk的联系人备注功能通过POST /api/v1/contacts/{id}/notes端点接受用户输入，后端会自动将输入包裹在<p>标签中。然而，攻击者可以拦截HTTP请求并移除这些<p>标签，从而允许他们注入任意的HTML元素，如表单、图像或脚本。由于应用程序在存储和渲染此输入之前未进行适当的净化，恶意内容会被持久化存储，并在用户查看备注时在其上下文中执行。这可能导致多种攻击，包括网络钓鱼、CSRF式的强制操作以及界面伪装攻击。利用此漏洞不需要身份验证，但需要受害者用户交互来触发恶意负载。CVSS 4.0基础评分为7.3，属于高严重性。该漏洞已被公开披露，并在0.8.6-beta版本中修复。迄今为止，尚未有已知的在野利用报告。

潜在影响

对于使用0.8.6-beta之前版本LibreDesk的欧洲组织而言，此漏洞对客户支持交互的机密性和完整性构成重大风险。攻击者可以利用存储型XSS，通过注入恶意脚本来窃取会话令牌、凭证或敏感的客户数据。他们还可以通过CSRF式攻击，代表合法用户执行未授权操作，可能篡改支持工单或访问受限信息。注入的持久性意味着任何查看被感染备注的用户都面临风险，从而增加了攻击面。这可能导致声誉损害、监管不合规以及运营中断。由于LibreDesk是自托管的，补丁管理或安全监控成熟度较低的组织可能更容易受到攻击。对于处理敏感客户数据或在欧洲受监管行业运营的组织，影响尤为严重。

缓解建议

欧洲组织应立即将LibreDesk升级至0.8.6-beta或更高版本，以应用在联系人备注功能中正确净化用户输入的官方补丁。在升级之前，组织应在Web应用防火墙或反向代理层面实施严格的输入验证和净化，以检测并阻止针对备注API端点的恶意HTML或脚本注入。应增强对POST /api/v1/contacts/{id}/notes请求的监控和日志记录，以检测表明篡改或注入尝试的异常模式。用户意识培训应强调与客户支持备注交互时的谨慎性。此外，组织应审查并限制对备注功能的权限，以最小化暴露面。定期的安全评估和专注于Web应用漏洞的渗透测试有助于主动检测类似问题。最后，实施内容安全策略头可以通过限制允许的来源来减少任何注入脚本的影响。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙、波兰