概述
CVE-2025-64710 - Bitplatform Boilerplate存在跨站脚本漏洞
漏洞详情
描述
Bitplatform Boilerplate是一个Visual Studio和.NET项目模板。9.11.3之前的版本在WebInteropApp/WebAppInterop中存在跨站脚本(XSS)漏洞,可能允许攻击者注入恶意脚本,危害Web应用程序的安全性和完整性。基于此Bitplatform Boilerplate的应用程序也可能存在漏洞。版本9.11.3修复了此问题。
时间线
- 发布日期:2025年11月13日凌晨3:16
- 最后修改:2025年11月13日凌晨3:16
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
评分详情
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 5.3 | CVSS 4.0 | 中等 | - | - | - | security-advisories@github.com |
解决方案
- 将Bitplatform Boilerplate更新至版本9.11.3以修复跨站脚本漏洞
- 审查和清理所有用户输入
- 对Web内容实施输出编码
参考信息
咨询、解决方案和工具参考
CWE - 常见弱点枚举
- CWE-79:在网页生成过程中输入中和不当(跨站脚本)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:使用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Bitplatform Boilerplate是一个Visual studio和.NET项目模板… |
| 添加 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 添加 | CWE | - | CWE-79 |
| 添加 | 参考 | - | https://github.com/bitfoundation/bitplatform/security/advisories/GHSA-rv95-xj37-7c3w |
漏洞评分详情
CVSS 4.0
- 基础CVSS评分:5.3
攻击向量矩阵:
- 攻击向量:网络/相邻/本地/物理
- 攻击复杂性:低/高
- 攻击要求:无/存在
- 所需权限:无/低/高
- 用户交互:无/被动/主动
- VS机密性:高/低/无
- VS完整性:高/低/无
- VS可用性:高/低/无
- SS机密性:高/低/无
- SS完整性:高/低/无
- SS可用性:高/低/无