关键信息 漏洞概述 CVE ID: CVE-2025-55903 类型: 存储型HTML注入 严重性: 高 (CVSS v3.1: 8.1) 发现者: Ajaynath Shankar 影响版本 产品: PerfexCRM 易受攻击的版本: < 3.3.1 修复版本: 3.3.1 漏洞详情 描述: 在PerfexCRM中发现了存储型HTML注入漏洞,允许攻击者在多个用户控制字段中注入恶意HTML内容。当授权用户将HTML代码插入到发票描述、账单地址或客户备注字段时,该内容会存储在数据库中并自动渲染在电子邮件和PDF附件中,导致潜在的钓鱼攻击、商业电子邮件欺诈和大规模勒索软件攻击。 受影响组件: - 发票描述字段 - 账单地址字段 - 客户备注字段 - 客户声明生成模块 - PDF附件 - 自动化邮件系统(包括发票提醒、备忘录) 根因 不充分的输入验证 缺乏HTML输出编码 缺乏上下文验证 缺乏对HTML/JavaScript的限制 影响 安全影响: - 钓鱼攻击 - 商业电子邮件欺诈 - 大规模勒索软件攻击 - 数据泄露 证明概念 环境设置: 访问具有发票创建权限的PerfexCRM管理面板,任意版本<3.3.1 PoC步骤: 1. 访问发票创建页面 2. 在描述字段中注入HTML有效载荷 3. 添加恶意账单地址 4. 添加样式有效载荷 5. 生成电子邮件/PDF 6. 验证攻击 缓解措施 最终用户: 1. 立即升级到PerfexCRM 3.3.1或更高版本 2. 审计发票:重新检查最近的发票以查找可疑的HTML内容 3. 客户通知:警告客户注意可疑链接 4. 凭据重置:建议更改密码(如果点击了链接) 5. 监控活动:检查系统审计日志以查找未经授权的修改