CVE-2025-63645 - pH7Software pH7-Social-Dating-CMS 存储型XSS漏洞
概述
漏洞描述
pH7Software pH7-Social-Dating-CMS 17.9.1版本的消息系统中存在存储型跨站脚本(XSS)漏洞。当用户提交未经净化的消息内容时,服务器会持久保存这些内容,并在其他用户的收件箱视图中渲染时未进行适当的上下文感知编码。因此,当收件人查看收件箱消息时,攻击者控制的内容会在接收者的浏览器上下文中执行。
漏洞信息
发布日期:2025年11月12日 晚上10:15
最后修改:2025年11月12日 晚上10:15
远程利用:否
信息来源:cve@mitre.org
受影响产品
以下产品受到CVE-2025-63645漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表中也未显示该信息。
暂无受影响产品记录
总受影响供应商:0 | 产品:0
解决方案
对用户输入进行净化处理,防止消息系统中的XSS攻击。
- 净化所有用户提交的消息内容
- 在收件箱视图渲染前对消息进行编码
- 更新pH7SocialDatingCMS到安全版本
- 审查消息处理和渲染代码
参考资源
以下提供与CVE-2025-63645相关的深度信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 常见弱点枚举
虽然CVE识别特定的漏洞实例,但CWE分类了可能导致漏洞的常见缺陷或弱点。CVE-2025-63645与以下CWE相关联:
跨站脚本
漏洞评分详情
此漏洞暂无CVSS指标可用。
漏洞时间线
新CVE接收 由cve@mitre.org于2025年11月12日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | pH7Software pH7-Social-Dating-CMS 17.9.1版本的消息系统中存在存储型跨站脚本(XSS)漏洞。当用户提交未经净化的消息内容时,服务器会持久保存这些内容,并在其他用户的收件箱视图中渲染时未进行适当的上下文感知编码。因此,当收件人查看收件箱消息时,攻击者控制的内容会在接收者的浏览器上下文中执行。 | |
| 添加 | 参考 | https://drive.google.com/drive/folders/1u2o2NWHzClSjsNzhtkk1QvaDGisAXs2v | |
| 添加 | 参考 | https://medium.com/@rudranshsinghrajpurohit/cve-2025-63645-stored-cross-site-scripting-xss-vulnerability-in-ph7-social-dating-cms-8073ac4be5be |