CVE-2025-67443CVE-2025-67443是Schlix CMS中的一个存储型跨站脚本(XSS)漏洞,CVSS评分6.1(中危)。该漏洞存在于Schlix CMS v2.2.9-5之前的版本中,由于登录表单缺乏JavaScript输入清理机制,攻击者可以在登录尝试时注入恶意脚本代码。当管理员查看包含这些错误登录记录的日志时,注入的恶意JavaScript代码将被执行,从而实现会话劫持、凭据窃取或其他恶意操作。此漏洞无需认证即可利用,但需要诱导管理员进行交互操作,如查看日志记录。由于攻击者可以利用登录表单作为攻击向量,且漏洞影响管理后台,建议尽快修复。
Schlix CMS在处理登录表单输入时未对用户提交的数据进行充分的JavaScript代码过滤。攻击者可以在登录表单的用户名或密码字段中注入包含<script>标签或JavaScript事件处理器的恶意代码。当登录失败时,这些未经过滤的输入会被存储在系统日志中。当管理员登录管理后台并查看这些日志记录时,浏览器会将存储的恶意代码作为HTML解析并执行,从而触发XSS攻击。攻击者可以利用此漏洞窃取管理员会话cookie、伪造管理界面内容或进行其他基于JavaScript的攻击。由于攻击发生在管理后台,攻击者可能获取管理员权限,对整个CMS系统造成严重影响。