CVE-2025-61674: CWE-79: 网页生成期间输入未经妥善处理（‘跨站脚本’）于 octobercms october

严重性: 中等 类型: 漏洞

CVE-2025-61674

October 是一个内容管理系统和网络平台。在 3.7.13 和 4.0.12 版本之前，在 October CMS 后台配置表单中发现了一个跨站脚本漏洞。拥有“全局编辑器设置”权限的用户可以向“标记样式”下的样式表输入框中注入恶意的 HTML/JS。精心构造的输入可以突破预设的 <style> 上下文，从而允许在所有用户的后台页面中执行任意脚本。此问题已在 3.7.13 和 4.0.12 版本中修复。

AI分析技术摘要

CVE-2025-61674 是一个被归类为 CWE-79 的跨站脚本漏洞，影响流行的内容管理系统和网络平台 October CMS。该漏洞存在于后台配置表单中，拥有“全局编辑器设置”权限的用户可以向“标记样式”下的样式表输入字段注入恶意代码。具体来说，该漏洞的出现是因为输入在被嵌入到 <style> 标签上下文之前，没有经过妥善的中和或清理。攻击者可以构造输入来突破样式上下文，从而允许在后端页面中执行任意的 HTML 或 JavaScript。这可能导致影响所有后台用户的未授权脚本执行，可能泄露敏感配置数据或促成进一步的攻击，例如会话劫持或权限提升。该漏洞影响 October CMS 版本 >= 4.0.0 且 < 4.0.12，以及所有低于 3.7.13 的版本。该问题已被公开披露，并在 3.7.13 和 4.0.12 版本中修复。CVSS v3.1 基础评分为 6.1，属于中等严重性，攻击向量为网络，攻击复杂度低，需要高权限和用户交互，影响机密性和完整性但不影响可用性。迄今为止，尚未有已知的在野利用报告。

潜在影响

对于使用 October CMS 的欧洲组织，此漏洞主要对后台管理数据的机密性和完整性构成风险。如果被利用，拥有“全局编辑器设置”权限的攻击者可以在后台环境中执行任意脚本，可能导致数据泄露、未经授权的配置更改或 CMS 环境的进一步受损。这可能会扰乱内容管理工作流程并暴露敏感的商业信息。对于金融、医疗保健和政府等对数据保护有高监管要求的行业组织，如果此漏洞被利用，可能会面临合规风险。此外，虽然需要经过身份验证的高权限访问限制了攻击面，但内部威胁或被泄露的凭据仍可能促成利用。目前没有已知的在野利用降低了直接风险，但并不能消除及时修复的必要性。

缓解建议

欧洲组织应立即将 October CMS 安装升级到 3.7.13 或 4.0.12 及更高版本，以应用官方补丁。在完成修补之前，应将“全局编辑器设置”权限限制在仅受信任的管理员，并定期审计拥有此权限的账户。如果存在自定义修改，请在后台表单上实施严格的输入验证和清理控制。部署具备规则的 Web 应用程序防火墙，以检测和阻止针对样式表输入字段的可疑脚本注入尝试。监控后台日志中与配置更改或脚本执行相关的异常活动。对特权用户进行定期的安全培训，以降低凭据泄露的风险。最后，制定健全的事件响应计划，以便快速应对任何被利用的迹象。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、波兰、瑞典