技术解析：Scada-LTS报告模块存储型XSS漏洞（CVE-2025-10235）

CVE-2025–10235：Scada-LTS报告模块中的存储型XSS漏洞（颜色字段）

作者：0x5ea3o1f

阅读时间：2分钟

发布日期：2025年8月26日

🔎 概述

Scada-LTS是一个开源的监控与数据采集（SCADA）平台，用于监视和控制工业环境。在测试过程中，在其报告模块中发现了一个存储型跨站脚本（XSS）漏洞。具体而言，报告条件中的“颜色”字段允许注入HTML/JavaScript代码，当页面被查看时，这些代码会以不安全的方式被渲染。

🛠 漏洞详情

• 受影响组件：报告 → 报告条件 (reports.shtm)
• 受控字段：颜色（报告模板中每点的配置）
• 漏洞类型：存储型跨站脚本（XSS）
• 受影响版本：已在 Scada-LTS v2.7.8.1 中确认
• 攻击向量：经过身份验证的用户在颜色字段中构造恶意载荷。该值被存储，之后每当打开或编辑报告模板时都会执行。

💻 概念验证（PoC）

1. 访问： http://<目标>/Scada-LTS/reports.shtm
2. 创建一个新的报告模板，并向点表中添加一个点。
3. 在该点的颜色列中，输入以下载荷： <img src=x onerror=alert(1)>
4. 保存模板（或保持其为草稿状态）。
5. 重新加载报告页面或重新打开模板。
6. JavaScript代码将在浏览器中执行（参见截图）。

将 0x5ea3o1f 的故事发送到您的收件箱。

免费加入 Medium 以获取此作者的更新。

订阅

🖼 截图证据：

按回车键或点击以查看完整尺寸的图像。

⚠️ 影响

• 在操作员浏览器中持久执行任意JavaScript代码。
• 可能导致会话劫持、CSRF令牌窃取、界面伪装或注入恶意控件。
• 在SCADA/工业控制系统中，可能导致监控仪表盘被操纵和操作员行为受影响。

🧩 根本原因

颜色字段的值未经HTML转义或清理就被渲染回DOM中。如果通过属性或innerHTML插入，攻击者控制的值可以突破预期的上下文，并引入可执行的HTML元素（例如，<img onerror=…>）。

✅ 修复建议

• 服务器端：在JSP中使用<c:out>（或等效方法）对所有用户提供的字段进行编码/转义，而不是直接使用原始的${…}。
• 客户端：避免对不可信数据使用innerHTML；优先使用textContent，或使用严格的白名单（如DOMPurify）进行清理。
• 验证：将颜色字段限制为严格的模式（#RRGGBB格式或已知的颜色名称），拒绝任何不符合要求的输入。
• 深度防御：应用内容安全策略（CSP）以降低脚本注入的影响。

📚 参考资料

• OWASP XSS 防护速查表： https://owasp.org/www-community/xss-prevention
• Scada-LTS 项目维基： https://github.com/SCADA-LTS/Scada-LTS/wiki CSD0tFqvECLokhw9aBeRqpcl5FelNKfVUPAtS0FWoo3SYrCv01niOk330Ydv7HBDsRkMDwSkqRivU0pzxS7rf7KvkJxpehtGs11/3euI07NPV0WWTp8jUINo/Y+zey6AxGqsDbmiJCWSH0WiJ9SK6w==