Contao模板跨站脚本漏洞分析
漏洞概述
CVE ID: CVE-2025-65961
GHSA ID: GHSA-68q5-78xp-cwwc
严重程度: 低危 (CVSS评分: 3.3)
受影响版本
Contao核心包 (contao/core-bundle)
- 4.0.0 至 4.13.56
- 5.0.0-RC1 至 5.3.41
- 5.4.0-RC1 至 5.6.4
漏洞描述
影响
攻击者能够向模板输出中注入恶意代码,这些代码将在前端和后端的浏览器中执行,导致跨站脚本攻击风险。
修复版本
- Contao 4.13.57
- Contao 5.3.42
- Contao 5.6.5
临时解决方案
- 避免使用受影响的模板
- 手动修补相关模板文件
技术细节
CVSS v3.1 基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 高
- 用户交互: 无
- 作用范围: 未改变
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 无
弱点分类
CWE-87: 替代XSS语法的不当中和 - 产品未能正确中和用户控制的替代脚本语法输入。
参考资源
- 官方安全公告: https://contao.org/en/security-advisories/cross-site-scripting-in-templates
- GitHub安全公告: GHSA-68q5-78xp-cwwc
致谢
- ausi (发现者)
- m-vo (发现者)