Copyparty 反射型跨站脚本漏洞
漏洞信息
漏洞名称: Copyparty 反射型跨站脚本漏洞
漏洞编号:
- CVE: CVE-2025-54589
漏洞类型: 跨站可执行脚本
漏洞等级: 中危
漏洞描述: Copyparty是一个轻量级的文件共享和Web服务器应用程序,设计用于快速部署和简单使用。它通常用于个人或小型团队内部的文件共享和协作。由于其简单性和易用性,Copyparty在开发者和技术爱好者中有一定的用户基础。该应用程序支持通过Web界面进行文件上传、下载和管理,适用于多种部署场景。
CVE-2025-54589是一个反射型跨站脚本(XSS)漏洞,存在于Copyparty版本1.18.6及更早版本中。该漏洞的根源在于应用程序未能正确过滤和转义用户提供的输入,特别是在处理filter参数时。攻击者可以构造恶意的JavaScript代码,并通过filter参数注入到Web页面中,当其他用户浏览包含恶意参数的页面时,注入的脚本将在用户的浏览器上下文中执行。
此漏洞的安全风险主要体现在攻击者能够利用它来执行跨站脚本攻击,从而窃取用户的会话令牌、重定向用户到恶意网站或在用户的上下文中执行未授权的操作。由于这是一个反射型XSS漏洞,攻击通常需要用户点击特制的链接或访问特定的页面。尽管如此,结合社会工程学手段,攻击者可以有效地诱导用户执行这些操作,从而增加漏洞的利用成功率。此外,该漏洞的利用不需要用户认证,增加了其潜在的攻击范围和影响。
产品名称: Copyparty
影响版本: ≤ 1.18.6
来源: https://github.com/byteReaper77/CVE-2025-54589
类型: CVE-2025:github search
仓库文件
- LICENSE
- README.md
- exploit.c
来源概述
CVE-2025-54589 – Copyparty Reflected XSS
Description :
This repository provides a Proof-of-Concept (PoC) and simple exploit for CVE-2025-54589, a reflected Cross-Site Scripting (XSS) vulnerability in Copyparty ≤ 1.18.6.
By injecting crafted JavaScript payloads into the filter parameter, this tool automates detection of the vulnerability and logs successful reflections.
Features :
- Supports HTTP and HTTPS targets
- Optional custom cookie and CA file support
- Auto color-detection for terminals (disable with
--no-color) - Verbose mode for detailed request/response debug
- Rate-limit friendly (configurable delay between requests)
- Logs all results to
results.txt
References “
Usage
- Compile the scanner:
1
2gcc exploit.c argparse.c -o exploit -lcurl
./exploit -i <IP> -p <PORT> -c <COOKIES_FILE> -a <CA_FILE> -v
Example :
- Verbose Mode :
1
./exploit -v -i 1.1.1.1 -p 80 - disable ANSI colors : 2 - Check results.txt for a summary of payloads and server responses.
1
./exploit -n -i 1.1.1.1 -p 443
License :
MIT License