漏洞详情

受影响版本

• Taguette < 1.5.0

修复版本

• Taguette 1.5.0

漏洞描述

在Taguette 1.5.0之前的版本中发现了一个安全问题。项目成员能够在名称或描述字段中插入JavaScript代码，这些代码将在项目加载时执行。

影响程度

• 严重程度: 中等
• CVSS评分: 5.4/10

技术细节

• 漏洞类型: 跨站脚本（XSS）
• CWE编号: CWE-79
• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 低权限
• 用户交互: 不需要
• 影响范围: 未改变
• 机密性影响: 低
• 完整性影响: 低
• 可用性影响: 无

修复建议

用户应升级到Taguette 1.5.0版本以修复此漏洞。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-62528
• GHSA-g9qw-g6rv-3889

时间线

• 发现时间: 2025年10月20日
• 更新时间: 2025年10月21日
• 报告者: emilvirkki

相关标识

• CVE编号: CVE-2025-62528
• GHSA编号: GHSA-g9qw-g6rv-3889

漏洞预测

• EPSS评分: 0.029%（第7百分位）
• 该评分估计此漏洞在未来30天内被利用的概率