CVE-2025-67349CVE-2025-67349是FluentCMS 1.2.3版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于网站的"Add Page"(添加页面)功能中,攻击者通过在页面的<head>部分注入恶意脚本代码,由于应用程序未能对用户输入进行充分的输入验证和输出编码,导致恶意JavaScript代码被存储在服务器端。当其他用户访问包含恶意代码的页面时,攻击脚本将在其浏览器中执行,从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。此漏洞需要攻击者具有管理员权限才能利用,但一旦成功,可能影响所有访问该页面的用户,造成敏感信息泄露和会话劫持等安全风险。CVSS 3.1评分6.1,属于中危级别漏洞。
该漏洞是一种存储型XSS(Stored XSS)漏洞,攻击向量为网络远程利用。漏洞根源在于FluentCMS 1.2.3在处理页面内容时,对<head>部分的输入内容缺少适当的HTML转义处理。攻击者以管理员身份登录后,访问"Add Page"功能点,在页面标题或内容区域注入恶意JavaScript代码,如<script>alert(document.cookie)</script>等。由于应用程序未对特殊字符进行HTML实体编码(<转换为<,>转换为>),攻击载荷被直接存储到数据库中。当其他用户访问该页面时,服务器将未经过滤的恶意代码返回给客户端浏览器,浏览器将其作为合法脚本执行。攻击者可利用此漏洞窃取用户会话令牌、修改页面内容进行钓鱼攻击、或在用户浏览器中执行任意JavaScript操作。CVSS向量显示该漏洞需要用户交互(UI:R)才能触发,攻击复杂度低(AC:L),无需特殊权限(PR:N)。