REDAXO CMS 媒体池信息横幅反射型XSS漏洞剖析

本文详细分析了CVE-2025-66026漏洞,该漏洞源于REDAXO CMS媒体池视图在处理`args[types]`参数时未进行HTML转义,导致在后台环境中可执行任意JavaScript代码,攻击者可借此窃取会话信息或执行恶意操作。

REDAXO CMS 媒体池信息横幅存在反射型XSS漏洞(CVE-2025-66026)

漏洞详情

严重性等级: 中等 发布日期: 2025年11月25日 更新日期: 2025年11月27日

受影响组件

软件包: composer/redaxo/source (Composer) 受影响版本: < 5.20.1 已修复版本: 5.20.1

漏洞描述

概述

在媒体池视图中存在一个反射型跨站脚本(XSS)漏洞。请求参数 args[types] 在渲染到信息横幅时未进行HTML转义。当已认证用户登录后访问特制链接时,该漏洞允许在后台上下文中执行任意JavaScript代码。

技术细节

控制流程

  1. redaxo/src/addons/mediapool/pages/index.php 通过 rex_request('args', 'array') 读取 args 参数,并将其作为 $argUrl 传递给 media.list.php
  2. redaxo/src/addons/mediapool/pages/media.list.php$argUrl['args']['types'] 未经过转义便注入到HTML字符串中:
1
2
3

if (!empty($argUrl['args']['types'])) {
    echo rex_view::info(rex_i18n::msg('pool_file_filter') . ' <code>' . $argUrl['args']['types'] . '</code>');
}

概念验证(PoC)

  1. 登录到REDAXO后台。
  2. 在已认证状态下,访问一个特制的URL,例如: <host>/index.php?page=mediapool/media&args[types]="><img+src%3Dx+onerror%3Dalert%28document.domain%29>
  3. 信息横幅会显示未转义的值并激活注入的 onerror 事件处理器,从而弹出一个警告框。

影响

可在后台执行任意JavaScript代码,从而导致:

  • 窃取会话Cookie、CSRF令牌或其他敏感数据。
  • 攻击者能够以受影响用户的身份执行任何管理操作。

参考信息

其他信息

报告者: tehofu CVSS 3.1 基础分数: 6.1 (中危) CVSS 向量: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 弱点类型: CWE-79 – 在网页生成过程中对输入的不恰当过滤(跨站脚本)

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次