关键信息 漏洞概述 漏洞类型: HTML Injection CVE ID: CVE-2025-1858 GHSA ID: GHSA-26xq-m8xw-6373 发布日期: Mar 12 严重性: Moderate (5.5/10) 影响版本与修复版本 受影响版本: 2.2.5 已修复版本: 2.2.6 描述 包名: froxlor panel (froxlor) 摘要: 客户账户门户中的HTML注入漏洞允许攻击者在电子邮件部分注入恶意HTML有效载荷。这可能导致网络钓鱼攻击、凭证盗窃和声誉损害,通过将用户重定向到恶意外部网站。 观察 在客户账户门户的电子邮件部分,存在一个功能可以创建电子邮件地址并接受用户输入。通过拦截请求并修改“domain”字段为包含锚标签的HTML注入有效载荷,注入的有效载荷会在错误页面上被反射。点击后,会将用户重定向到外部网站,确认存在HTML注入漏洞。 PoC步骤 1. 导航到客户账户门户的电子邮件部分并创建新电子邮件地址。 2. 在所需字段中输入任意垃圾值并使用Burp Suite拦截请求。 3. 在拦截的请求中定位“domain”字段,并将其值替换为以下HTML注入有效载荷: 4. 转发修改后的请求,观察注入的有效载荷在错误页面上被反射。 5. 点击显示的“CLICK”链接,验证其重定向到https://www.google.com,确认存在HTML注入。 影响 攻击者可以利用此HTML注入漏洞操纵门户内容、进行网络钓鱼攻击、破坏应用程序或诱骗用户点击恶意链接。这可能导致凭证盗窃、恶意软件分发、声誉损害和潜在的合规性违规。 建议 推荐实施适当的输入验证和输出编码以防止HTML注入。应用程序应在渲染页面之前剥离或转义HTML标签来清理用户输入。