CVE-2025-65858: Calibre-Web 存储型跨站脚本(XSS)漏洞详情
漏洞概述
Calibre-Web 版本 0.6.25 存在一个存储型跨站脚本(XSS)漏洞。攻击者可以在创建用户时,通过 username(用户名) 字段注入恶意 JavaScript 代码。该载荷未经净化即被存储,并在访问 /ajax/listusers 端点时执行。
受影响版本
- 受影响的版本: <= 0.6.25
- 已修复版本: 无
漏洞细节
严重性评级
- 严重性等级: 低
- CVSS 总体评分: 1.9 / 10
CVSS v4.0 基础指标
可利用性指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 高
- 用户交互: 被动
脆弱系统影响指标:
- 机密性影响: 无
- 完整性影响: 无
- 可用性影响: 无
后续系统影响指标:
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 无
CVSS v4.0 向量字符串:
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:P
其他评估指标
- EPSS 分数: 0.027% (第6百分位,未来30天内被利用的概率估计)
弱点关联
- CWE-ID: CWE-79
- 弱点描述: 在网页生成过程中未正确对输入进行中和(‘跨站脚本’)。该产品在将用户可控的输入放置到提供给其他用户的网页输出之前,未进行中和或中和不正确。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-65858
- https://github.com/KhanhDuy155/calibre-web-CVE-2025-65858/blob/main/CVE-2025-65858.md
标识符
- CVE ID: CVE-2025-65858
- GHSA ID: GHSA-pc5g-j9j7-p4q3
源代码
- 项目仓库: janeczku/calibre-web
发布时间线
- 发布于国家漏洞数据库(NVD): 2025年12月2日
- 发布于 GitHub 安全公告数据库: 2025年12月2日
- GitHub 审核时间: 2025年12月2日
- 最后更新时间: 2025年12月2日