漏洞概述
在 October CMS 的后台配置表单中发现了一处存储型跨站脚本(Stored XSS) 漏洞(编号:CVE-2025-61674)。该漏洞影响编辑器设置和品牌样式配置,可被具有特定权限的用户利用,从而在后台界面所有用户的上下文中执行任意脚本。
漏洞详情
受影响版本
- 版本 3.x: <= 3.7.12
- 版本 4.x: >= 4.0.0, <= 4.0.11
漏洞位置
漏洞存在于以下两个后台配置项中:
- 编辑器设置 - 标记样式 (Settings → Editor Settings → Markup Styles)
- 品牌样式
具体而言,拥有 “全局编辑器设置 (Global Editor Settings)” 权限的用户,可以向“标记样式”的样式表输入框中注入恶意的 HTML/JavaScript 代码。
技术原理
攻击者可以构造特殊的输入,突破预期的 <style> 标签上下文,将恶意脚本注入到所有后台页面中。当其他管理员或用户访问后台时,这些脚本会被加载并执行。
影响
- 持久性XSS:恶意代码存储在后端,持续影响所有访问后台的用户。
- 权限提升:可能被较低权限的账户利用,从而提升其权限。
- 会话劫持:攻击者可窃取用户会话,执行未授权的操作。
- 攻击范围:所有访问October CMS后台页面的用户都可能受到影响。
修复方案
官方补丁
该漏洞已在以下版本中得到修复:
- v4.0.12
- v3.7.13
修复措施是对样式表输入内容进行了清理(Sanitized),防止任意HTML/JS的注入。强烈建议所有用户升级到最新的安全版本。
临时缓解措施
如果无法立即升级,可以采取以下临时方案降低风险:
- 限制权限:将“全局编辑器设置”权限仅授予完全信任的管理员。
- 注意:此方法仅能减少暴露面,并不能完全消除风险。
参考信息
- 漏洞报告者:Nakkouch Tarek
- GitHub安全公告:GHSA-gxxc-m74c-f48x
- CWE分类:CWE-79 - 在网页生成期间对输入的不当中和(跨站脚本)
- CVSS v3.1 评分:6.1(中危)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:高
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:无