漏洞详情
基本信息
- CVE ID: CVE-2025-65961
- GHSA ID: GHSA-68q5-78xp-cwwc
- 严重程度: 低风险 (CVSS 3.3)
- 漏洞类型: 跨站脚本(XSS)
- 受影响组件: Contao核心包 (contao/core-bundle)
受影响版本
| 主要版本 | 受影响范围 | 已修复版本 |
|---|---|---|
| Contao 4.x | >=4.0.0, <4.13.57 | 4.13.57 |
| Contao 5.x | >=5.0.0-RC1, <5.3.42 | 5.3.42 |
| Contao 5.4+ | >=5.4.0-RC1, <5.6.5 | 5.6.5 |
技术影响
该漏洞允许攻击者将恶意代码注入模板输出,这些代码将在前端和后端的浏览器中执行。这意味着攻击者可以在用户访问受影响页面时执行任意JavaScript代码。
CVSS v3.1评分详情
- 基础向量: AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N
- 攻击向量(Attack Vector): 网络(N)
- 攻击复杂度(Attack Complexity): 高(H)
- 所需权限(Privileges Required): 高(H)
- 用户交互(User Interaction): 无(N)
- 影响范围(Scope): 未改变(U)
- 机密性影响(Confidentiality): 低(L)
- 完整性影响(Integrity): 低(L)
- 可用性影响(Availability): 无(N)
漏洞分类
- CWE标识: CWE-87
- 漏洞名称: 替代XSS语法的不恰当中和
- 描述: 产品未能对用户控制的替代脚本语法输入进行恰当中和或错误中和
解决方案
修复补丁
- 升级到以下安全版本之一:
- Contao 4.13.57
- Contao 5.3.42
- Contao 5.6.5
临时解决方案
- 停止使用受影响的模板
- 手动修补相关模板文件
技术参考
- 官方安全公告: https://contao.org/en/security-advisories/cross-site-scripting-in-templates
- NVD漏洞详情: https://nvd.nist.gov/vuln/detail/CVE-2025-65961
漏洞时间线
- 发现日期: 2025年11月25日
- 首次发布: 2025年11月25日 (国家漏洞数据库)
- GitHub顾问数据库发布: 2025年11月25日
- 最后更新: 2025年11月27日
其他技术指标
- EPSS评分: 0.027% (第6百分位)
- 漏洞发现者: ausi (Finder), m-vo (Finder)
安全建议
- 立即检查使用的Contao版本是否在受影响范围内
- 优先安排系统升级到已修复版本
- 如果无法立即升级,实施推荐的临时解决方案
- 监控系统日志,检测可能的攻击尝试
该漏洞虽然CVSS评分较低,但由于影响前后端,仍需及时处理以防止潜在的安全风险。