CVE-2025-61413：Piranha CMS存储型跨站脚本(XSS)漏洞分析

漏洞概述

漏洞类型：存储型跨站脚本(XSS)
影响组件：/manager/pages
受影响版本：Piranha CMS ≤ 12.0.0
CVSS评分：5.3（中危）

技术细节

漏洞描述

Piranha CMS v12.1的/manager/pages组件存在存储型跨站脚本安全漏洞。攻击者可通过创建页面并在Markdown块中注入精心构造的载荷，从而执行任意Web脚本或HTML代码。

攻击向量

• 攻击途径：网络
• 攻击复杂度：低
• 所需权限：低权限
• 用户交互：无需用户交互

影响范围

受影响系统：

• 机密性：低影响
• 完整性：低影响
• 可用性：无影响

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-61413
• https://github.com/PiranhaCMS/piranha.core
• https://github.com/Saconyfx/security-advisories/blob/main/CVE-2025-61413/advisory.md
• http://piranhacms.org

弱点分类

CWE-79：在网页生成过程中对输入进行不当中和（跨站脚本）
产品在将用户可控的输入放置到提供给其他用户的网页输出中之前，未能正确中和或错误地中和这些输入。

安全指标

• EPSS评分：0.029%（第7百分位）
• 漏洞状态：GitHub已审核
• 发布时间：2025年10月23日
• 最后更新：2025年10月23日