Partner软件跨站脚本与远程代码执行漏洞分析

VU#317469 - Partner Software/Partner Web未对报告文件和笔记内容进行清理，导致XSS和RCE漏洞

漏洞说明 VU#317469

首次发布日期：2025-08-02 | 最后修订日期：2025-08-04

概述

Partner Software公司生产的Partner Software和Partner Web产品未能对报告或笔记文件进行清理，导致存在XSS攻击漏洞。Partner Software是N. Harris Computer Corporation的子公司，是一家现场应用开发公司，其产品面向工业、市政、州政府和私人承包商使用。

授权用户在使用Partner Software或Partner Web应用程序查看工作时可以上传"报告"。文件上传功能未限制可上传的文件类型或扩展名，使得拥有有效凭证的攻击者能够执行XSS攻击并在设备上执行恶意代码。Partner Web产品在所有版本中都使用相同的默认管理员用户名和密码。能够访问Partner Web应用程序的攻击者可能利用这些漏洞在托管设备上执行任意代码。

描述

Partner Software的Partner Software和Partner Web产品被多个市政机构、州政府和私人承包商用于现场应用工作。这些产品支持各种GIS相关用途、地图查看器和其他支持工具。Partner Software和Partner Web产品包含多个用于上传内容供现场工作人员分析的字段。能够访问Partner Web应用程序的认证用户可能通过这些漏洞执行RCE。

CVE-2025-6076

Partner Software相应的Partner Web应用程序未对在报告选项卡中上传的文件进行清理，允许经过认证的攻击者上传恶意文件，该文件将存储在受害服务器上。

CVE-2025-6077

Partner Software相应的Partner Web应用程序都使用相同的默认管理员账户用户名和密码。

CVE-2025-6078

Partner Software/Partner Web允许认证用户在作业视图内的笔记页面添加文本，但未完全清理输入，使得可以添加包含HTML标签和JavaScript的笔记，使攻击者能够添加包含恶意JavaScript的笔记，导致存储型XSS（跨站脚本）。

影响

利用这些漏洞的攻击者可以获取设备的管理员访问权限或执行XSS攻击，从而危害设备。

解决方案

Partner Software已在4.32.2版本中为受影响的产品提供了补丁。4.32.2补丁中现已移除管理员和编辑用户，笔记部分现在限制并清理输入，仅允许包含简单文本。此外，允许的文件附件仅包括.csv、.jpg、.png、.txt、.doc和.pdf文件，并且不再读取这些文件，仅显示它们。受影响的Partner Web版本为4.32及更早版本。补丁信息可在此处获取：https://partnersoftware.com/resources/software-release-info-4-32/

致谢

感谢报告者Ryan Pohlner（网络安全和基础设施安全局）的报告，以及Partner Software的协调工作。本文档由Christopher Cullen编写。

供应商信息

N. Harris Computer Corporation

状态：未知
通知日期：2025-05-07
更新日期：2025-08-02
CVE-2025-6076 未知
CVE-2025-6077 未知
CVE-2025-6078 未知

供应商声明： 我们尚未收到供应商的声明。

Partner Software

状态：未知
通知日期：2025-05-01
更新日期：2025-08-02
CVE-2025-6076 未知
CVE-2025-6077 未知
CVE-2025-6078 未知

供应商声明： 我们尚未收到供应商的声明。

参考链接

• https://partnersoftware.com/partner-services/
• https://partnersoftware.com/resources/software-release-info-4-32/

其他信息

CVE ID：

• CVE-2025-6076
• CVE-2025-6077
• CVE-2025-6078

公开日期： 2025-08-02
首次发布日期： 2025-08-02
最后更新日期： 2025-08-04 15:38 UTC
文档版本： 2
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）