漏洞总结:Vtiger CRM v8.4.0 反射型 XSS 漏洞概述 CVE 编号: CVE-2025-70936 漏洞类型: 反射型跨站脚本 (Reflected XSS) 受影响模块: MailManager 根本原因: 在 模块的 操作中, 参数对用户可控输入处理不当,允许反射并执行经过双重 URL 编码的恶意载荷。 影响范围 受影响版本: Vtiger CRM v8.4.0 影响描述: 攻击者可以在已认证用户的会话上下文中执行任意 JavaScript 代码,可能导致会话劫持。 修复方案 页面未提供具体的修复代码或补丁信息。建议对 参数进行严格的输入验证和输出编码。 复现步骤 (POC) 1. 在 Vtiger CRM 中,导航至 Mail manager: 2. 点击 Inbox 并使用 Burp Suite 等工具拦截请求。 3. 定位请求底部的 参数。 4. 将参数值修改为: 5. 转发请求并观察浏览器中的 JavaScript 执行(cookie alert)。