漏洞概述
Sesame Web 应用程序中存在一个存储型跨站脚本(Stored Cross-Site Scripting, XSS)漏洞。该漏洞源于应用程序在处理用户上传的 SVG 图像时未进行充分的安全过滤和内容净化,导致攻击者可通过构造恶意 SVG 文件,在目标系统中植入并持久化执行任意脚本代码。
漏洞详情
- CVE 编号:CVE-2025-41084
- 漏洞类型:存储型跨站脚本(Stored XSS),CWE-79
- CVSS 评分:5.1(中危),CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
- 影响版本:受影响的 Sesame Web 应用程序版本(具体版本未在公告中明确)
影响范围
所有使用 Sesame Web 应用程序且允许通过 API 接口 /api/v3/companies/<ID>/logo 上传公司 Logo 的部署环境均可能受到影响,特别是当该功能接受 SVG 格式文件且未实施有效的内容安全策略或输入验证机制时。
风险分析
攻击者可利用此漏洞上传包含恶意 JavaScript 代码的 SVG 文件作为公司 Logo。一旦其他用户(包括管理员)访问包含该 Logo 的页面,嵌入的脚本将在其浏览器上下文中自动执行,可能导致会话劫持、钓鱼攻击、信息泄露或进一步的客户端攻击。由于需要低权限账户(PR:L)和被动用户交互(UI:P),攻击门槛较低但危害范围有限。
修复建议
- 建议用户立即联系 Sesame 官方或系统供应商,确认是否存在可用的安全补丁,并尽快升级至已修复该漏洞的版本。
- 在官方补丁发布前,可临时禁用 SVG 格式的 Logo 上传功能,或强制将上传的图像转换为非可执行格式(如 PNG/JPG),并实施严格的 Content Security Policy (CSP) 以限制内联脚本执行。
