CVE-2025-63593CVE-2025-63593是Grav CMS 1.7.49.5版本中存在的一个跨站脚本攻击(XSS)漏洞,CVSS评分6.1,属于中等严重程度。该漏洞存在于Grav CMS的内容处理机制中,攻击者可以通过构造特定的恶意输入,在用户访问被污染的页面时执行任意JavaScript代码。由于该漏洞需要用户交互才能触发(UI:R),攻击者通常需要诱骗受害者访问包含恶意脚本的链接或页面。受影响的系统涉及网络可访问性(AV:N),但无需认证即可发起攻击(PR:N),这意味着任何能够访问受影响系统的用户都可能成为潜在攻击目标。此漏洞可能导致会话劫持、敏感信息窃取、恶意内容注入等安全问题,对系统的机密性和完整性造成一定影响(机密性C:L,完整性I:L)。
该XSS漏洞存在于Grav CMS的输入处理和输出渲染流程中。攻击者通过在用户可控的输入字段中注入恶意JavaScript代码(如<script>标签、事件处理器属性等),当系统将该输入未经充分过滤或转义直接输出到HTML页面时,恶意代码便会在受害者浏览器中执行。漏洞利用的关键在于绕过系统的输入过滤机制,可能涉及对特殊字符编码、HTML标签闭合、属性值注入等技术的利用。由于CVSS向量显示攻击复杂度为低(AC:L),说明该漏洞的利用难度相对较低,攻击者无需复杂的条件或配置即可成功实施攻击。PoC通常涉及构造包含XSS payload的URL或表单提交,当管理员或普通用户访问时触发脚本执行。