CVE-2025-67290: Piranha CMS 存储型跨站脚本（XSS）漏洞

漏洞详情

概述

Piranha CMS 中发现了一个存储型跨站脚本（XSS）漏洞。此漏洞存在于 版本 12.1 的页面设置模块中。攻击者能够通过向摘要字段注入精心构造的恶意载荷，来执行任意的 Web 脚本或 HTML 代码。

包信息

• 包管理器: nuget (NuGet)
• 受影响的包: Piranha
• 受影响的版本: <= 12.0.0
• 已修复版本: 无

严重性与评分

• 严重等级: 低
• CVSS 整体评分: 1.9 / 10
• EPSS 评分: 0.031% (第9百分位，预估未来30天内被利用的可能性)

CVSS v4 基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 无
• 所需权限: 低
• 用户交互: 需要
• 对易受攻击系统的影响:
  • 机密性: 无影响
  • 完整性: 无影响
  • 可用性: 无影响
• 对后续系统的影响:
  • 机密性: 低度影响
  • 完整性: 低度影响
  • 可用性: 无影响

完整向量字符串: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:P

弱点

• 弱点: CWE-79
• 描述: 在生成网页时对输入处理不当（跨站脚本）。该产品未能正确或完全地对用户可控的输入进行无害化处理，然后将其放置于输出中并作为网页提供给其他用户。

标识符

• CVE ID: CVE-2025-67290
• GHSA ID: GHSA-fw48-7qf9-455m

时间线

• 向国家漏洞数据库发布时间: 2025年12月22日
• 向 GitHub 咨询数据库发布时间: 2025年12月22日
• GitHub 审核时间: 2025年12月22日
• 最后更新时间: 2025年12月22日

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-67290
• https://github.com/vuquyen03/CVE/tree/main/CVE-2025-67290
• http://piranha.com

源代码

• 项目仓库: PiranhaCMS/piranha.core