REDAXO CMS反射型XSS漏洞分析(CVE-2025-66026)

漏洞概述

REDAXO CMS的Mediapool视图存在一个反射型跨站脚本(XSS)漏洞，攻击者可通过精心构造的args[types]请求参数在信息横幅中注入恶意JavaScript代码。

受影响版本

• 受影响版本：< 5.20.1
• 修复版本：5.20.1

漏洞详情

漏洞位置

漏洞存在于REDAXO CMS的Mediapool模块中，具体位置为：

1. redaxo/src/addons/mediapool/pages/index.php 通过rex_request('args', 'array')读取args参数
2. redaxo/src/addons/mediapool/pages/media.list.php 将参数值直接输出到HTML中，未进行适当的HTML转义

漏洞代码分析

1
2
3

if (!empty($argUrl['args']['types'])) {
    echo rex_view::info(rex_i18n::msg('pool_file_filter') . ' <code>' . $argUrl['args']['types'] . '</code>');
}

上述代码直接将$argUrl['args']['types']的值插入到HTML的<code>标签中，未进行任何转义处理。

漏洞利用(PoC)

1. 攻击者登录REDAXO后台
2. 访问恶意构造的URL：

   1	<host>/index.php?page=mediapool/media&args[types]="><img+src%3Dx+onerror%3Dalert%28document.domain%29>

3. 信息横幅会显示未经转义的值，并激活注入的onerror事件处理器，执行JavaScript弹窗

攻击流程

1. 攻击者构造包含恶意JavaScript代码的URL
2. 诱使已认证的管理员点击该链接
3. 恶意脚本在管理员的后台会话中执行
4. 攻击者可窃取会话cookie、CSRF令牌等敏感信息
5. 攻击者可执行任意管理员操作

漏洞影响

• 攻击向量：网络(Network)
• 攻击复杂度：低(Low)
• 所需权限：无(None)
• 用户交互：需要(Required)
• 影响范围：变更(Changed)
• 机密性影响：低(Low)
• 完整性影响：低(Low)
• 可用性影响：无(None)

CVSS评分：6.1（中危）

实际影响

• 在后台环境中执行任意JavaScript代码
• 窃取会话cookie和CSRF令牌
• 获取敏感的后台数据
• 以管理员身份执行任意操作
• 潜在的完全控制CMS系统

技术原理

反射型XSS机制

该漏洞属于典型的反射型XSS，攻击载荷通过URL参数传递，服务器未经验证和转义就直接将参数值嵌入到响应页面中。当用户访问包含恶意参数的URL时，浏览器会执行注入的脚本。

安全漏洞根源

1. 缺乏输入验证：未对args[types]参数进行内容验证
2. 缺乏输出编码：在将用户输入输出到HTML时未进行适当的HTML实体编码
3. 信任用户输入：直接信任并使用了未经处理的用户输入

修复方案

官方在版本5.20.1中修复了此漏洞，主要修复措施包括：

• 对args[types]参数值进行HTML转义处理
• 确保所有用户输入在输出到HTML前都经过适当的编码

相关标识

• CVE ID：CVE-2025-66026
• GHSA ID：GHSA-x6vr-q3vf-vqgq
• CWE分类：CWE-79 - 网页生成期间输入中和不当（跨站脚本）

时间线

• 报告时间：2025年11月25日
• 修复时间：2025年11月25日
• NVD发布：2025年11月26日
• 最后更新：2025年11月27日

安全建议

1. 立即升级REDAXO CMS到5.20.1或更高版本
2. 对所有用户输入进行严格的验证和过滤
3. 在输出用户数据到HTML时，始终进行适当的编码
4. 实施内容安全策略(CSP)以减少XSS攻击的影响
5. 定期进行安全审计和漏洞扫描

参考资料

1. GitHub安全公告：GHSA-x6vr-q3vf-vqgq
2. NVD漏洞详情：CVE-2025-66026
3. REDAXO修复提交：redaxo/redaxo@5892906