漏洞详情
CVE ID: CVE-2025-65961 GHSA ID: GHSA-68q5-78xp-cwwc 漏洞名称: Contao 模板中存在跨站脚本漏洞 严重等级: 低 (CVSS 3.1 分数: 3.3)
影响
攻击者可以向模板输出中注入代码,这些代码将在前端和后端的浏览器中执行。
受影响的软件包
- 包管理器: Composer
- 包名称:
contao/core-bundle
受影响版本
-
= 4.0.0, < 4.13.57
-
= 5.0.0-RC1, < 5.3.42
-
= 5.4.0-RC1, < 5.6.5
已修复版本
- 4.13.57
- 5.3.42
- 5.6.5
修复措施
- 补丁: 更新至 Contao 4.13.57、5.3.42 或 5.6.5。
- 变通方案: 不使用受影响的模板或手动修补它们。
参考资料
- https://contao.org/en/security-advisories/cross-site-scripting-in-templates
- https://nvd.nist.gov/vuln/detail/CVE-2025-65961
CVSS v3.1 基准指标
向量字符串: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N
- 攻击向量 (AV): 网络
- 攻击复杂度 (AC): 高
- 所需权限 (PR): 高
- 用户交互 (UI): 无
- 范围 (S): 未更改
- 保密性影响 (C): 低
- 完整性影响 (I): 低
- 可用性影响 (A): 无
EPSS 分数
- 分数: 0.027% (第6百分位) 此分数估计了该漏洞在未来30天内被利用的概率。
弱点
- 弱点类型: CWE-87
- 描述: 对替代XSS语法的中和不当。产品未能中和或错误地中和了用户控制的替代脚本语法输入。
来源与发布时间
- 发布时间 (至 contao/contao): 2025年11月25日 (由 leofeyer 发布)
- 国家漏洞数据库发布时间: 2025年11月25日
- GitHub Advisory Database 发布时间: 2025年11月25日
- 审核时间: 2025年11月25日
- 最后更新时间: 2025年11月27日
致谢
- ausi (发现者)
- m-vo (发现者)