关键信息 信息 漏洞类型: Web App 软件名称: OnlyOffice Community Server 受影响版本: 12.7.0 软件供应商: Ascensio System SIA 软件链接: https://github.com/ONLYOFFICE/Docker-CommunityServer 严重性: 中等 CVSS评分: 5.2 CVE链接: CVE-2025-10255 受影响资产: 10523+ 发现日期: 2025年2月17日 PoC利用: N/A 描述 在OnlyOffice中,用户可以创建项目并添加评论。虽然允许HTML输入,但它也允许嵌入包含JavaScript的iframe,导致XSS漏洞。XSS不会直接影响OnlyOffice,而是通过iframe标签从任何恶意站点加载JavaScript到OnlyOffice。 贡献者: 0xHamy & Luke Smith 复现步骤 1. 创建 文件,内容如下: 2. 使用Python HTTP服务器运行 : 3. 在OnlyOffice上选择一个项目并创建评论,使用以下URL: 4. 编辑评论源代码并使用以下payload: 5. 刷新或传播页面,内容将加载。 概念验证(PoC)视频 提供了一个概念验证视频,展示漏洞复现过程。