CVE-2025-68936 — 神龙十问 AI 深度分析摘要
CVSS 6.4 · Medium
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **跨站脚本漏洞(XSS)** - 本质:Color主题名未过滤 - 后果:攻击者可注入恶意脚本 💥 - 用户浏览时脚本执行 → 账户劫持/信息泄露
Q2根本原因?(CWE/缺陷点)
🔍 **根本原因** - **CWE-79**:输入未正确转义 - 缺陷点:**Color主题名称处理不当** - 导致脚本被当作正常内容渲染
Q3影响谁?(版本/组件)
👥 **影响范围** - ONLYOFFICE Docs **< 9.2.1** - 组件:在线文档编辑服务 - 📌 所有使用该版本的实例均中招
Q4黑客能干啥?(权限/数据)
💣 **黑客能力** - 需**普通用户权限**(PR:L) - 可窃取会话Cookie 🍪 - 可篡改页面、钓鱼、诱导操作 - 影响同域其他用户(S:C)→ 扩大攻击面
Q5利用门槛高吗?(认证/配置)
🧩 **利用门槛** - ❗低门槛 - 仅需**登录用户**身份 - UI无需交互(UI:N) - 网络可达即可(AV:N)
Q6有现成Exp吗?(PoC/在野利用)
🕵️ **现有Exp?** - 📭 PoC:**暂无公开** - 📉 在野利用:**未报告** - 但风险真实⚠️ 勿轻敌
Q7怎么自查?(特征/扫描)
🔎 **自查方法** - 检查版本号 < 9.2.1 ❗ - 搜索自定义Color主题名含特殊字符 - 用浏览器审查元素看是否转义 - 🛠️ 可抓包验证主题名回显
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复** - ✅ 已修复于 **v9.2.1** - 更新日志见:[CHANGELOG](https://github.com/ONLYOFFICE/DocumentServer/blob/master/CHANGELOG.md#921) - 建议立即升级 🚀
Q9没补丁咋办?(临时规避)
⚠️ **无补丁时对策** - 禁用自定义Color主题功能 - 限制用户修改主题名的权限 - 前端增加严格输入过滤 & 输出编码 - 部署CSP策略降低XSS威力 🧱
Q10急不急?(优先级建议)
🔥 **优先级建议** - 🚨 **高优先级** - CVSS 3.1评分:**5.4(中危)** - 易利用 + 多用户受影响 - 尽快升级或缓解 ✅