CVE-2025-15149:rawchen ECMS中的跨站脚本漏洞技术分析

本文详细分析了CVE-2025-15149漏洞,该漏洞存在于rawchen ECMS的内容管理系统中。由于`updateProductServlet`函数对`productName`参数处理不当,导致存储型跨站脚本攻击风险,攻击者可远程利用此漏洞。

CVE-2025-15149:rawchen ECMS中的跨站脚本漏洞

严重性: 中危 类型: 漏洞 CVE编号: CVE-2025-15149

漏洞概述

在rawchen ECMS(截至提交哈希 b59d7feaa9094234e8aa6c8c6b290621ca575ded 的版本)中发现一个安全漏洞。该漏洞影响“添加新产品页面”组件中文件 src/servlet/product/updateProductServlet.java 内的函数 updateProductServlet。对参数 productName 的操纵会导致跨站脚本(XSS)攻击。此攻击可以远程利用。该漏洞的利用细节已公开披露,并可能被使用。

该产品采用滚动发布模式进行持续交付,因此未提供受影响或已更新版本的具体详情。供应商在早期已就此事被告知,但未作出任何回应。

技术详情

数据版本: 5.2 分配者短名称: VulDB 预留日期: 2025-12-27T13:32:59.524Z CVSS版本: 4.0 状态: 已发布

威胁ID: 69517b9efd294cd93b162cad 添加到数据库: 2025年12月28日,下午6:49:02 最后更新: 2025年12月29日,上午4:09:27 浏览次数: 8

来源信息

来源: CVE数据库 V5 发布时间: 2025年12月28日,星期日 (12/28/2025, 18:32:06 UTC) 供应商/项目: rawchen 产品: ecms

相关威胁

  • CVE-2025-15169: BiggiDroid Simple PHP CMS 中的SQL注入(中危,2025年12月29日星期一)
  • CVE-2025-52691: SmarterTools SmarterMail 中的漏洞(高危,2025年12月29日星期一)
  • CVE-2025-15168: itsourcecode 学生管理系统中的SQL注入(中危,2025年12月29日星期一)
  • CVE-2025-15167: itsourcecode 在线蛋糕订购系统中的SQL注入(中危,2025年12月29日星期一)
  • CVE-2025-15166: itsourcecode 在线蛋糕订购系统中的SQL注入(中危,2025年12月29日星期一)
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次