CVE-2025-14691CVE-2025-14691是影响Mayan EDMS直到4.10.1版本的一个跨站脚本(XSS)漏洞。该漏洞存在于Mayan EDMS的/authentication/路径下的未知功能模块中,攻击者可以通过构造恶意脚本代码注入到受影响的功能点。由于该漏洞可远程利用且需要用户交互,攻击者可以诱导管理员或其他用户访问包含恶意代码的页面,从而窃取会话Cookie、劫持用户账户或执行其他客户端-side攻击。漏洞已于2025年12月14日披露,官方已在4.10.2版本中修复此安全问题。鉴于该漏洞的利用代码已公开,建议所有使用受影响版本的用户尽快升级到修复版本。
该漏洞是存储型或反射型XSS漏洞,攻击者通过在/authentication/路径下的表单输入字段中注入恶意JavaScript代码。当其他用户访问包含该恶意代码的页面时,浏览器会执行注入的脚本,导致会话劫持、敏感信息窃取等安全问题。CVSS向量显示攻击复杂度低(AC:L),无需认证(PR:N),但需要用户交互(UI:R)。攻击者可从网络远程发起攻击(AV:N),对机密性(C:L)和完整性(I:L)造成低影响,对可用性(A:N)无影响。建议通过输入验证、输出编码和内容安全策略(CSP)来缓解此类XSS漏洞。