CVE-2025-65186CVE-2025-65186是Grav CMS 1.7.49版本中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞源于Grav CMS的页面编辑器模块未对用户输入进行充分的安全过滤。具体而言,页面编辑器允许已认证用户通过Markdown编辑器编辑页面内容,但编辑器未能正确清理和过滤<script>等HTML标签。当攻击者通过编辑器注入恶意JavaScript代码(如<script>alert(document.cookie)</script>)后,该恶意代码会被永久存储在系统中。当其他用户或管理员在管理后台访问或预览包含该恶意代码的页面时,存储型XSS payload将自动执行,可能导致会话劫持、敏感信息窃取、恶意操作执行等严重安全后果。由于该漏洞需要认证用户权限才能利用,但其影响范围涵盖所有访问受影响页面的用户,因此被评定为中等严重程度。
该漏洞的技术根源在于Grav CMS的Markdown编辑器对用户输入内容的处理机制存在安全缺陷。在Markdown编辑流程中,系统允许用户输入原始HTML内容,但后端的安全过滤机制未能有效识别和过滤<script>标签等危险元素。攻击者只需在Markdown编辑器中插入<script>alert('XSS')</script>这样的payload,恶意代码便会随页面内容一同被保存至数据库。当管理员或用户在管理界面查看该页面时,浏览器会解析并执行存储的脚本代码。由于Grav CMS的管理后台通常具有较高的权限等级,此类存储型XSS漏洞可能造成会话凭证泄露、管理员账号被接管等严重后果。漏洞的利用条件相对简单,只需攻击者拥有CMS的编辑权限即可触发攻击。