Wabac.js在404错误处理逻辑漏洞CVE-2025-58765

Wabac.js是基于Service Worker的Web存档重播系统，提供完整网页历史回溯，用于创建和管理Web存档集合，实现跨时间网页内容重现。

Wabac.js使用提供完整Web存档重播系统或“回溯机器”，除ReplayWeb.page，wabac.js服务辅助系统可直接使用或与自定义UI一起使用。

一、基本情况

Wabac.js库提供了一个用于Web存档重播的“服务器”组件，以及一个用于管理Web存档集合的API，这些API可以在服务工作者环境中运行。

Wabac.js 库包括一个“服务器”重写系统，也可以在Node中运行，该系统支持API支持，通过提供API接口用于加载存档、查询信息等操作。

栋科技漏洞库关注到Wabac.js v2.23.10及以下版本中，存在反射跨站脚本（XSS）漏洞，追踪为CVE-2025-58765，CVSS 3.X评分为5.7。

二、漏洞分析

CVE-2025-58765漏洞是在wabac.js v2.23.10及以下版本中，存在的一个反射跨站脚本（XSS）漏洞，已在wabac.js v2.23.11中得到修复。

这是存在于受影响版本中的404错误处理逻辑反射跨站点脚本（XSS）漏洞，影响范围可能受限于CORS策略，取决于wabac.js使用情况。

具体而言，该漏洞源于参数requestURL（从原始请求目标派生）直接嵌入到内联<script>块中，而没有进行净化或转义。

这导致攻击者能够构造一个恶意URL，即可在受害者的浏览器中执行任意JavaScript代码。

三、影响范围

wabac.js <= v2.23.10

四、修复建议

replaywebpage >= 2.3.17

wepecorder/wabac >= 2.23.11

wepecorder/archivewebpage >= 0.15.4

abac.js >= 2.23.11

五、参考链接

管理员已设置登录后刷新可查看