漏洞概要
漏洞名称: October CMS 存储型XSS漏洞(通过品牌样式) CVE编号: CVE-2025-61676 严重等级: 中等(CVSS评分6.1) 影响范围:
- October CMS v3.x: <= 3.7.12
- October CMS v4.x: >= 4.0.0, <= 4.0.11
漏洞详情
漏洞位置
October CMS后端配置表单中的“品牌与外观样式”功能。
漏洞成因
拥有“自定义后端样式”权限的用户可以在“设置→品牌与外观→样式”页面的样式表输入框中注入恶意HTML/JavaScript代码。
攻击者可以精心构造输入,突破预期的<style>标签上下文限制,从而在所有用户访问的后端页面中执行任意脚本。
影响范围
- 持久性XSS攻击:漏洞存在于整个后端界面
- 低权限利用:仅需拥有“自定义后端样式”权限的账户即可利用
- 潜在后果:
- 权限提升
- 会话劫持
- 在受害者会话中执行未授权操作
修复方案
官方补丁
漏洞已在以下版本中修复:
- v4.0.12
- v3.7.13
修复措施:样式表输入现在经过清理,防止任意HTML/JS注入。强烈建议所有用户升级到最新修补版本。
临时缓解措施
如果无法立即升级:
- 将“自定义后端样式”权限限制为完全可信的管理员
- 注意:此措施只能减少风险暴露,不能完全消除风险
技术信息
CVSS v3.1 评分细节
- 基础评分: 6.1(中等)
- 攻击向量: 网络(AV:N)
- 攻击复杂度: 低(AC:L)
- 所需权限: 高(PR:H)
- 用户交互: 需要(UI:R)
- 范围: 未改变(S:U)
- 影响:
- 机密性:高(C:H)
- 完整性:高(I:H)
- 可用性:无(A:N)
安全弱点分类
- CWE标识: CWE-79
- 弱点描述: 在网页生成过程中输入清理不当(跨站脚本)
- 具体表现: 产品在将用户可控输入放置到提供给其他用户的网页输出中之前,未能正确清理或清理不当。
相关资源
- GitHub安全公告: GHSA-wvpq-h33f-8rp6
- 报告者: Nakkouch Tarek
- 修复开发者: daftspunk
- 源代码仓库: octobercms/october
建议行动
- 立即升级:所有受影响版本的用户应尽快升级到修补版本
- 权限审查:定期检查并限制敏感权限的分配
- 安全监控:加强对异常活动的监控和检测