关键信息 漏洞详情 漏洞标题: DirectAdmin v1.680 DOM Injection via return-to Parameter (UI Misrepresentation) CVE编号: CVE-2025-56561 风险等级: Medium 影响版本: DirectAdmin v1.680 及更早版本 漏洞描述 DirectAdmin v1.680 存在用户界面操作漏洞,通过向 Evolution 登录页面的 return-to 参数注入内容。应用程序直接将用户提供的值从 return-to 查询字符串反射到可见的 DOM 中,而没有进行任何清理、转义或长度限制。这允许攻击者将大量可见文本注入登录界面,并将合法的 UI 元素(如用户名和密码字段)完全移出屏幕。 复现步骤 1. 访问: 2. 在斜杠后附加一个精心构造的有效载荷,例如: 3. 使用百分比编码的有效载荷,包含数十或数百个连字符 (-) 或 等效物以及模拟警告消息或钓鱼式文本的百分比编码内容。 4. 渲染时,应用程序会将攻击者的消息与登录界面一起显示,同时将原始登录表单推出视图范围,阻止用户交互。 影响 合法的登录字段不再可见 用户被呈现为攻击者控制的界面内容 为钓鱼或凭证盗窃创造了机会 内容可能被搜索引擎索引或存档,导致声誉或 SEO 相关损害 执行攻击不需要身份验证,只需通过 GET 请求触发 CWE CWE-451: User Interface (UI) Misrepresentation of Critical Information