漏洞详情

漏洞描述

在Taguette 1.5.0之前的版本中发现了一个安全问题。项目成员能够在名称或描述字段中插入JavaScript代码，这些代码将在项目加载时执行。

受影响版本

• 受影响版本：< 1.5.0
• 已修复版本：1.5.0

严重程度

• 严重等级：中等
• CVSS评分：5.4/10

漏洞类型

• 弱点类型：CWE-79
• 具体分类：在网页生成过程中对输入内容的不当处理（跨站脚本）

技术细节

该漏洞属于跨站脚本（XSS）攻击漏洞，攻击者可以通过以下字段注入恶意代码：

• 标签名称字段
• 标签描述字段
• 文档名称字段
• 文档描述字段

修复方案

用户应升级到Taguette 1.5.0版本以修复此漏洞。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-62528
• GHSA-g9qw-g6rv-3889

CVSS v3基础指标

• 攻击向量：网络
• 攻击复杂度：低
• 所需权限：低
• 用户交互：无
• 作用范围：未改变
• 机密性影响：低
• 完整性影响：低
• 可用性影响：无