CVE-2025-54806 - GROWI跨站脚本漏洞
概述
漏洞描述
GROWI v4.2.7及更早版本在页面提醒功能中存在跨站脚本漏洞。如果用户登录受影响产品后访问特制URL,可能会在用户的Web浏览器中执行任意脚本。
漏洞时间线
- 发布日期:2025年10月23日 上午5:15
- 最后修改:2025年10月23日 上午5:15
- 远程利用:否
- 信息来源:vultures@jpcert.or.jp
受影响产品
以下产品受到CVE-2025-54806漏洞影响。即使cvefeed.io知晓受影响的确切产品版本,下表中也未显示该信息。
尚无受影响产品记录
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS评分。
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 6.1 | CVSS 3.0 | 中等 | - | - | - | ede6fdc4-6654-4307-a26d-3331c018e2ce |
| 6.1 | CVSS 3.0 | 中等 | - | 2.8 | 2.7 | vultures@jpcert.or.jp |
| 5.1 | CVSS 4.0 | 中等 | - | - | - | ede6fdc4-6654-4307-a26d-3331c018e2ce |
| 5.1 | CVSS 4.0 | 中等 | - | - | - | vultures@jpcert.or.jp |
解决方案
将GROWI更新到修复页面提醒功能中跨站脚本漏洞的版本。
- 将GROWI更新到4.2.8或更高版本
- 确保页面提醒功能经过适当的清理处理
参考信息
以下是有关CVE-2025-54806的深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用弱点枚举
CVE标识特定的漏洞实例,而CWE则分类可能导致漏洞的常见缺陷或弱点。CVE-2025-54806与以下CWE相关联:
CWE-79:在网页生成过程中输入清理不当(跨站脚本)
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类(CAPEC)存储攻击模式,这些模式描述了对手利用CVE-2025-54806弱点所采用的常见属性和方法。
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:使用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞历史记录
下表列出了随时间对CVE-2025-54806漏洞所做的更改。漏洞历史记录详细信息可用于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收:由vultures@jpcert.or.jp于2025年10月23日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | GROWI v4.2.7及更早版本在页面提醒功能中存在跨站脚本漏洞。如果用户登录受影响产品后访问特制URL,可能会在用户的Web浏览器中执行任意脚本。 |
| 添加 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 添加 | CVSS V3 | - | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| 添加 | CWE | - | CWE-79 |
| 添加 | 参考 | - | https://growi.co.jp/news/38/ |
| 添加 | 参考 | - | https://jvn.jp/en/jp/JVN46526244/ |
漏洞评分详情
CVSS 4.0
基础CVSS评分:5.1
CVSS 3.0
基础CVSS评分:6.1