BigBlueButton中的XSS漏洞CVE-2025-55200

BigBlueButton 是一个开源的在线教育平台，提供高质量的实时视频通信功能，支持多人视频、语音聊天、屏幕共享、白板、聊天室功能。

一、基本情况

BigBlueButton 是一款开源的虚拟教室软件，旨在创建沉浸式远程学习体验，支持多路音视频流，让教师和学生可实现流畅的面对面交流。

BigBlueButton 是一套开源的视频会议系统，特别适用于远程教育，为大学和学院提供高品质的远程学生的学习体验，或用于标准的会议。

BigBlueButton 系统可以让多个用户登录共享摄像头并同时通过VOIP进行交流、在线演示PDF和Office文档，还可将桌面共享给其他用户。

栋科技漏洞库关注到 BigBlueButton 中容易通过共享笔记中的用户名遭受存储型 XSS漏洞，追踪为CVE-2025-55200，CVSS 3.X评分7.1。

二、漏洞分析

CVE-2025-55200漏洞是存在于 BigBlueButton 受影响版本中，这是一个容易通过共享笔记中的用户名遭受存储型跨站脚本（XSS）漏洞。

当拥有恶意用户名的用户编辑内容时，漏洞允许低权限用户在打开“共享笔记”页面高权限用户（如管理员）的上下文中执行任意JavaScript。

在3.0.13版本之前版本中，“共享笔记”功能存在存储型跨站脚本（XSS）漏洞，漏洞输入位置是“用户名”字段，输出位置在“共享笔记”页面。

“共享笔记”功能存储跨站点脚本（XSS）漏洞，其输入和输出位置如下：

输入：“用户名”字段

输出：在“共享笔记”页面上，当具有恶意用户名的用户正在编辑内容时。

漏洞潜在影响包括安装键盘记录器以捕获用户输入、代表受害者采取行动（会话劫持）、显示虚假登录表单或将受害者重定向到恶意网站。

三、影响范围

bigbluebutton <= 3.0.12

四、修复建议

bigbluebutton >= 3.0.13

五、参考链接

管理员已设置登录后刷新可查看