# 每日安全资讯 (2025-10-11)

今日未发现新的安全文章，以下是 AI 分析结果：

# AI 安全分析日报 (2025-10-11)

本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)


### CVE-2025-55903 - PerfexCRM HTML注入漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-55903 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-10-10 00:00:00 |
| 最后更新 | 2025-10-10 19:37:56 |

#### 📦 相关仓库

- [CVE-2025-55903](https://github.com/ajansha/CVE-2025-55903)

#### 💡 分析概述

该漏洞存在于PerfexCRM 3.3.1之前的版本中，允许经过身份验证的用户在发票、账单和客户备注等字段中注入恶意HTML代码。 攻击者可以通过注入HTML，将恶意内容嵌入到发送给客户的电子邮件和PDF文件中，从而进行大规模的钓鱼攻击和恶意软件传播。 仓库当前star数量为0，更新频繁，包含漏洞详细描述、POC和缓解措施。漏洞利用方式为，攻击者构造包含恶意链接或图片的HTML代码，将其注入到发票的描述、账单地址或客户备注等字段中。当系统生成发票的电子邮件或PDF时，恶意HTML将被渲染，从而导致用户点击恶意链接或打开恶意图片，最终实现钓鱼或恶意代码的攻击。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 存储型HTML注入：攻击者注入的HTML代码将被持久化存储。 |
| 2 | 自动传播：恶意HTML通过电子邮件和PDF文件自动传播给客户。 |
| 3 | 高影响：可能导致钓鱼、BEC和恶意软件传播。 |
| 4 | 易利用：需要经过身份验证的低权限用户即可利用。 |
| 5 | 无交互：无需用户交互，攻击即可自动发生。 |

#### 🛠️ 技术细节

> 漏洞成因：PerfexCRM在处理用户输入时，没有对发票、账单地址和客户备注等字段中的HTML代码进行充分的过滤和转义，导致HTML代码可以被存储。

> 攻击步骤：攻击者登录PerfexCRM后台，创建或编辑发票，在相关字段中注入恶意HTML代码。 保存发票后，系统生成邮件或PDF时，恶意HTML代码将被渲染。

> 修复方案：升级到PerfexCRM 3.3.1或更高版本。对用户输入进行严格的过滤和转义，确保所有输出的HTML代码都是安全的。 限制非管理员用户编辑发票的权限。 添加自动化测试，确保注入的HTML代码无法在客户通信中渲染。


#### 🎯 受影响组件

```
• 发票明细（描述字段）
• 账单地址字段
• 客户备注字段
• 客户报表生成模块
• PDF附件
• 自动化邮件系统（重复发票、提醒）
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响范围广，涉及客户敏感信息，利用难度低，危害程度高，且存在0day风险，具有极高的实战威胁价值。
</details>

---