CVE-2025-65186 - Grav CMS 存储型跨站脚本漏洞
概述
CVE-2025-65186 是一个针对 Grav 内容管理系统的安全漏洞。
描述
Grav CMS 1.7.49 版本存在跨站脚本攻击漏洞。页面编辑器允许已认证用户通过 Markdown 编辑器编辑页面内容。该编辑器未能正确过滤 <script> 标签,导致存储型 XSS 载荷在管理界面查看页面时得以执行。
发布日期: 2025年12月2日 17:16 最后修改日期: 2025年12月2日 17:16 可远程利用: 否 来源: cve@mitre.org
受影响产品
目前尚未记录具体的受影响产品。
总计受影响供应商:0 | 产品:0
解决方案
- 将 Grav CMS 更新到修复了页面编辑器中存储型XSS漏洞的版本。
- 更新 Grav CMS 至最新版本。
- 审查 Markdown 编辑器的输入过滤机制。
- 对所有用户输入实施严格的过滤。
参考链接
| URL | 资源 |
|---|---|
| https://github.com/getgrav/grav | |
| https://github.com/lukehebe/Vulnerability-Disclosures/blob/main/CVE-2025-65186.pdf |
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新CVE接收(来自cve@mitre.org) 2025年12月2日 |
添加 | 描述 | (新增漏洞描述) |
| 添加 | 参考链接 | https://github.com/getgrav/grav | |
| 添加 | 参考链接 | https://github.com/lukehebe/Vulnerability-Disclosures/blob/main/CVE-2025-65186.pdf |
漏洞类型: 跨站脚本攻击
漏洞评分详情: 暂无此漏洞的CVSS评分数据。