CVE-2025-65516 - Seafile社区版存储型跨站脚本漏洞
概述
一个存储型跨站脚本(XSS)漏洞在Seafile社区版13.0.12之前的版本中被发现。当Seafile配置为使用Golang文件服务器时,攻击者可以上传一个特制的包含恶意JavaScript的SVG文件,并通过公开链接分享。打开该链接会在受害者的浏览器中触发脚本执行。此问题已在Seafile社区版13.0.12中修复。
漏洞时间线
- 发布日期:2025年12月4日,下午4:16
- 最后修改:2025年12月4日,下午5:15
- 远程利用:否
- 来源:cve@mitre.org
受影响产品
以下产品受到CVE-2025-65516漏洞的影响。 即使cvefeed.io知晓受影响产品的确切版本,该信息也未在下表中体现。
- 尚无受影响产品记录
-
受影响供应商总数 : 0 | 产品 : 0
解决方案
更新Seafile社区版至13.0.12或更高版本以修复此存储型XSS漏洞。
- 将Seafile社区版更新至13.0.12或更高版本。
- 应用Seafile最新的安全补丁。
- 审查文件上传和分享配置。
咨询、解决方案和工具参考
此处提供了一个精心挑选的外部链接列表,提供与CVE-2025-65516相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://gist.github.com/x0root/e5597622fede55b320d29a248dce01e6 | |
| https://manual.seafile.com/latest/changelog/server-changelog/ |
CWE - 通用缺陷枚举
虽然CVE标识漏洞的具体实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-65516与以下CWE相关联:
- 跨站脚本
通用攻击模式枚举与分类(CAPEC)
通用攻击模式枚举与分类(CAPEC)存储了攻击模式,这些模式描述了攻击者利用CVE-2025-65516弱点的常用属性和方法。
漏洞历史记录
下表列出了对CVE-2025-65516漏洞所做的更改。 漏洞历史记录详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。
新CVE接收 由 cve@mitre.org 接收 2025年12月04日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Seafile社区版13.0.12之前的版本中发现了一个存储型跨站脚本(XSS)漏洞。当Seafile配置为使用Golang文件服务器时,攻击者可以上传一个特制的包含恶意JavaScript的SVG文件,并通过公开链接分享。打开该链接会在受害者的浏览器中触发脚本执行。此问题已在Seafile社区版13.0.12中修复。 | |
| 添加 | 参考 | https://gist.github.com/x0root/e5597622fede55b320d29a248dce01e6 | |
| 添加 | 参考 | https://manual.seafile.com/latest/changelog/server-changelog/ |
漏洞评分详情
此漏洞暂无CVSS评分指标。