Aimeos GrapesJS CMS extension has possible stored XSS that’s exploitable by authenticated editors · CVE-2025-66468 · GitHub Advisory Database
漏洞详情
软件包: composer - aimeos/ai-cms-grapesjs (Composer)
受影响的版本:
-
= 2021.04.1, < 2021.10.8
-
= 2022.04.1, < 2022.10.9
-
= 2023.04.1, < 2023.10.15
-
= 2024.04.1, < 2024.10.8
-
= 2025.04.1, < 2025.10.2
已修复的版本:
- 2021.10.8
- 2022.10.9
- 2023.10.15
- 2024.10.8
- 2025.10.2
描述:
影响: 如果标准的Content Security Policy(内容安全策略)被禁用,恶意的编辑者可以注入JavaScript代码以发起存储型XSS攻击。
缓解措施: 如果标准的CSP规则处于活动状态(生产模式下的默认设置),则无法进行利用。
致谢: Lwin Min Oo lwinminoo2244@gmail.com
参考:
- GHSA-424m-fj2q-g7vg
- https://nvd.nist.gov/vuln/detail/CVE-2025-66468
- aimeos/ai-cms-grapesjs@2214f71
严重性
等级: 高危 CVSS总体评分: 7.7 / 10
CVSS v3 基础指标:
- 攻击向量 (AV): 网络 (N)
- 攻击复杂度 (AC): 高 (H)
- 所需权限 (PR): 高 (H)
- 用户交互 (UI): 需要 (R)
- 影响范围 (S): 已变更 (C)
- 机密性影响 (C): 高 (H)
- 完整性影响 (I): 高 (H)
- 可用性影响 (A): 高 (H)
CVSS向量: CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
EPSS 评分: 0.038% (第11百分位数)
弱点
弱点: CWE-79 - 网页生成期间输入内容的不当中和(跨站脚本)
描述: 该产品在将用户可控的输入内容放置到提供给其他用户的网页输出中之前,未能进行中和或中和不当。