October CMS 存在通过品牌样式配置的存储型XSS漏洞 · CVE-2025-61676

漏洞详情

软件包

• 包管理器: Composer
• 包名: october/system

受影响版本

• <= 3.7.12
• >= 4.0.0， <= 4.0.11

已修复版本

• 3.7.13
• 4.0.12

漏洞描述

在October CMS的后台配置表单中发现一个跨站脚本（XSS）漏洞：

品牌与外观样式 拥有“自定义后台样式”权限的用户可以向 设置 → 品牌与外观 → 样式 中的样式表输入框注入恶意的HTML/JS代码。

精心构造的输入可以突破预定的<style>上下文，从而允许在所有用户的后台页面中执行任意脚本。

影响

• 整个后台界面的持久性XSS。
• 可利用性：拥有上述权限的低权限账户即可利用。
• 潜在后果包括权限提升、会话劫持以及在受害者会话中执行未经授权的操作。

补丁 该漏洞已在 v4.0.12 和 v3.7.13 版本中修复。

• 样式表输入现在经过净化处理，以防止注入任意的HTML/JS。
• 强烈建议所有用户升级到最新的修复版本。

临时缓解措施 如果无法立即升级：

• 将“自定义后台样式”权限严格限制在完全可信的管理员账户。
• 注意：此措施可降低风险，但无法完全消除风险。

致谢 由 Nakkouch Tarek 报告。

参考

• GHSA-wvpq-h33f-8rp6

发布时间 2026年1月9日，由 daftspunk 发布至 octobercms/october 仓库。

严重等级：中等

CVSS 总体评分：6.1 / 10

CVSS v3.1 基础指标 AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:N

• 攻击向量（AV）: 网络
• 攻击复杂度（AC）: 低
• 所需权限（PR）: 高
• 用户交互（UI）: 需要
• 影响范围（S）: 不变
• 机密性影响（C）: 高
• 完整性影响（I）: 高
• 可用性影响（A）: 无

EPSS 评分 0.037%（第11百分位）—— 此分数估计了该漏洞在未来30天内被利用的概率。

相关弱点

• CWE-79: 网页生成期间对输入的清理不当（‘跨站脚本攻击’）—— 产品在将用户可控的输入放置到提供给其他用户的网页输出之前，未能正确或不恰当地对其进行清理。

标识符

• CVE ID: CVE-2025-61676
• GHSA ID: GHSA-wvpq-h33f-8rp6

源代码 octobercms/october

贡献者

• 报告者: nakkouchtarek
• 修复开发者: daftspunk