CVE-2025-60837:MCMS反射型跨站脚本(XSS)漏洞
漏洞详情
软件包: maven/net.mingsoft:ms-mcms (Maven)
受影响版本: <= 6.0.1
已修复版本: 无
漏洞描述
MCMS v6.0.1中存在一个反射型跨站脚本(XSS)漏洞,攻击者可通过特制载荷在用户浏览器上下文中执行任意JavaScript代码。
严重程度
严重等级: 中危
CVSS总体评分: 6.1/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 作用域: 已更改
- 机密性影响: 低
- 完整性影响: 低
- 可用性影响: 无
CVSS向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
弱点分类
弱点类型: CWE-79
描述: 在网页生成过程中对输入的不当中和(跨站脚本) 产品在将用户可控的输入放置到提供给其他用户的网页输出之前,未能正确中和或错误地中和这些输入。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-60837
- https://gist.github.com/xizhiwei66666666/5cec37c9f674a08bc0d8654d42b4137a
- https://gitee.com/mingSoft/MCMS
- http://mcms.com
标识符
- CVE ID: CVE-2025-60837
- GHSA ID: GHSA-wvv5-5g6x-hp7j
源代码
ming-soft/MCMS