致远 OA 数据统计界面存在 URL 参数 XSS 漏洞（CVE-2025-3999）

一个被公开评估为低危的漏洞，却可能成为攻击者撬开企业内网的第一块砖。近日，致远 OA 被披露存在一个跨站脚本（XSS）漏洞，攻击者只需向特定文件 URL 注入恶意代码，即可窃取系统敏感数据，并与 OA 文件上传漏洞等组合利用，对企业数据安全构成实质性威胁。百度云防护 WAF 已内置相应的安全规则（规则 ID 4232），无需手动配置即可实时拦截此类攻击。

一、 漏洞概况

• 漏洞编号：CVE-2025-3999
• 披露时间：2025 年 4 月 28 日公开披露，2026 年 4 月 22 日更新至百度云防护规则库
• 影响产品：致远 OA V8.1 SP2
• 漏洞类型：DOM 型跨站脚本（XSS）
• 攻击方式：远程利用、需要低权限用户交互
• PoC/EXP：已公开
• 漏洞等级：
• CVSS v3 评分为 5.4（中危）
• CNVD 及部分安全社区评级为“低危”
• EPSS 评分为 0.00029（利用概率低于 0.1%），但在实际攻防场景中不可轻视

二、 漏洞原理

该漏洞本质是一个DOM 型跨站脚本漏洞，根源在于 date.htm 和 date.jsp 两个文件未对 URL 参数进行安全过滤。

• 当用户访问含有恶意参数的 URL 时，该文件通过 document.location.search 直接获取 URL 参数值。
• 后台未对这些参数进行输入检查或输出转义，直接将参数传入 eval 函数执行。
• 由于参数未经严格校验，攻击者可以构造包含恶意脚本的 URL，诱导受害者点击，从而在 OA 系统中执行恶意代码。

// 简化示意：V8.1 SP2 中未对 URL 参数进行过滤，直接传入 eval 执行
var param = document.location.search;
eval(param);  // 攻击者可传入恶意脚本

另一核心漏洞点在于 addDate 组件下的 date.jsp 文件在处理 URL 参数时同样存在输入过滤和输出转义缺失的问题，使得攻击者能够注入任意 JavaScript 代码。

三、 攻击路径与危害

3.1 DOM 型 XSS 攻击流程

1. 诱导触发：攻击者通过发送伪造的登录提醒、审批待办等邮件，或植入到公告、论坛中，诱导拥有低权限 OA 账号的用户点击。
2. 执行恶意代码：用户访问后，恶意脚本在 OA 系统页面所在域下执行，由于 OA 系统往往拥有较高权限，攻击者能够：

• 窃取用户会话信息（Token / Cookie），进而劫持登录会话，伪造合法身份访问核心数据。
• 提取页面敏感信息，包括待审流程、组织架构、通讯录等。

1. 组合提权：

• 攻击者可凭窃取的普通用户权限绕过并不高的权限要求，配合“前台任意文件上传”或“会话劫持”漏洞扩大战果。
• 结合 OA 未修复的接口，进一步上传 Webshell，实现服务器远程命令执行并控制目标系统。

1. 持续性攻击：XSS 漏洞还可被用来在 OA 系统的页面中嵌入钓鱼表单或恶意重定向链接，通过社工手段骗取更多高级权限。

3.2 主要危害类型

信息泄露

• 窃取用户会话数据、Cookie、内部流程数据及组织架构。

组合漏洞扩大权限

• 与上传漏洞或配置缺陷配合，可升级为服务器失陷。

成为跳板

• 以受感染的 OA 系统为跳板，向互联的内网其他业务系统发起横向攻击。

四、 影响版本（官方确认）

• 致远 OA V8.1 SP2

更低版本如 V7.0、V5.x 等不排除受类似 XSS 问题影响，建议确认补丁更新状态。

五、 百度云防护 WAF 如何拦截该漏洞？

5.1 内置规则已支持，开箱即用

根据百度云防护最新规则库截图，已上线针对致远 OA date.htm 跨站脚本漏洞的检测规则：

规则名称	规则ID	风险等级	防护类型	更新时间
CVE-2025-3999 注入检测	4232	中风险	注入	2026-04-22

该规则从 URL 参数、Cookie、Header 及 POST Body 中智能识别并拦截包含 XSS 攻击特征的请求，在恶意流量抵达 OA 服务器前进行阻断。

5.2 拦截原理

• 解码绕过检测：检测 document.location、eval 等敏感函数，并自动进行 URL 解码、HTML 实体解码等，防止编码绕过。
• 危险函数识别：识别 URL 参数中可能用于触发 DOM XSS 的危险函数，如 eval、document.location 等。
• 输出编码验证：检测响应中是否存在未转义的可疑参数，确保输出安全。
• 自动防护，无需配置：基础防护引擎默认开启，用户接入 WAF 后即刻生效。

六、 综合修复建议

1. 系统升级：关注致远官方安全公告，及时更新 V8.1 SP2 及以上版本补丁。
2. 输入与输出双重过滤：补丁未就绪前，确保 date.jsp 与 date.htm 在处理 URL 时：

• 输入：对参数进行白名单验证，仅允许字母数字及必要特殊字符。
• 输出：使用 OWASP ESAPI 等库对输出内容进行强制逃逸，禁用恶意拼接。

1. 部署 WAF：配置百度云防护且确认规则 ID 4232 处于开启拦截状态。
2. 实施最小权限策略：OA 系统运行账号降权，关闭非必需的组件与端口，限制数据库访问来源 IP。
3. 会话加固：启用全局 HttpOnly、Secure Cookie 传播属性，开启 MFA，降低 XSS 导致的凭证泄露风险。
4. 自动化检测：在 CI/CD 中集成自动化扫描工具（如 Burp Suite、Acunetix），保障上线安全。

七、 主机吧总结

此次针对致远 OA V8.1 SP2 的 XSS 漏洞，单次利用影响为“低危”，但它与其他文件上传漏洞的结合使用，将让一次点击演变为内网失陷的导火索。百度云防护 WAF 内置新规则（ID 4232）后，用户无需任何额外配置即可自动防御此类攻击。

如果您正在使用致远 OA，或对所运营 Web 系统的安全防护能力存在疑虑，欢迎联系主机吧。我们提供免费安全评估和百度云防护 WAF 配置指导。

---

主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、高防服务器、SSL 证书一站式服务
让每一次 XSS 攻击都无处遁形，让每一个企业系统都固若金汤。