CVE-2025-12848 - Webform Multiform渲染文件名时的XSS漏洞

概述

漏洞时间线

描述

Drupal 7.x的Webform Multiple File Upload模块在文件名渲染器中包含一个跨站脚本（XSS）漏洞。未经身份验证的攻击者可以通过向一个禁用了文件类型验证的、包含Multifile字段的Webform节点上传一个包含恶意JavaScript代码（例如，<img src=1 onerror=alert(document.domain)>）的文件名来利用此漏洞。这允许在受害者浏览器的上下文中执行任意脚本。

该问题存在于第三方库中，并已在一个补丁中解决，补丁地址为 https://github.com/fyneworks/multifile/pull/44 。建议用户应用提供的补丁或将模块更新到已修复的版本。

信息

发布日期： 2025年11月26日 凌晨2:15 最后修改： 2025年11月26日 凌晨2:15 可远程利用： 是！ 来源： mlhess@drupal.org

受影响产品

以下产品受到CVE-2025-12848漏洞的影响。 即使cvefeed.io知道受影响产品的确切版本，该信息也未在下表中表示。

CVSS 评分

通用漏洞评分系统（CVSS）是一个用于评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。

解决方案

应用补丁或更新模块以修复XSS漏洞。

• 应用提供的补丁。
• 将模块更新到已修复的版本。

参考（公告、解决方案和工具）

在这里，您将找到一个精心策划的外部链接列表，这些链接提供与CVE-2025-12848相关的深入信息、实用解决方案和有价值的工具。

CWE - 通用缺陷枚举

CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12848与以下CWE相关联：

• CWE-79: 网页生成期间输入中和不当（‘跨站脚本’）

常见攻击模式枚举和分类（CAPEC）

常见攻击模式枚举和分类（CAPEC）存储攻击模式，这些模式描述了攻击者利用CVE-2025-12848弱点的常用属性和方法。

• CAPEC-63: 跨站脚本（XSS）
• CAPEC-85: AJAX 足迹探测
• CAPEC-209: 利用MIME类型不匹配的XSS
• CAPEC-588: 基于DOM的XSS
• CAPEC-591: 反射型XSS
• CAPEC-592: 存储型XSS

我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布的公共漏洞利用和概念验证的集合（按最近更新排序）。 由于潜在的性能问题，结果限制在前15个仓库。

以下列表是文章中提及CVE-2025-12848漏洞的新闻。 由于潜在的性能问题，结果限制在前20篇新闻文章。

下表列出了随时间对CVE-2025-12848漏洞所做的更改。 漏洞历史记录详细信息有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

| 添加 | CVSS V4.0 | | AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:X/R:U/V:D/RE:L/U:Amber | | 添加 | CWE | | CWE-79 | | 添加 | 参考 | | https://www.drupal.org/node/3105204 |

EPSS（漏洞利用预测评分系统）是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史记录。

跨站脚本

漏洞评分详情

CVSS 4.0

• 基础CVSS分数：7

攻击向量：网络 攻击复杂性：低 攻击要求：无 所需权限：无 用户交互：主动 保密性影响（VS）：低 完整性影响（VS）：低 可用性影响（VS）：高 后续保密性影响（SS）：无 后续完整性影响（SS）：无 后续可用性影响（SS）：无