CVE-2026-25100Bludit CMS的图片上传功能中存在存储型跨站脚本(XSS)漏洞。拥有内容上传权限的经过身份验证的攻击者(如作者、编辑或管理员)能够上传包含恶意载荷的SVG文件。该恶意文件存储在服务器上,当受害者访问该资源的URL时,载荷便会执行。由于上传的资源无需身份验证即可访问,这扩大了潜在受害者的范围。目前所有低于等于3.18.2的版本均受影响。
该漏洞源于Bludit未能对上传的SVG文件内容进行有效的安全过滤。SVG(可缩放矢量图形)基于XML标准,允许在文件内部嵌入JavaScript脚本。攻击者利用低权限账户(如Author)登录系统,通过内容管理界面上传一个精心构造的SVG文件,其中包含`<script>`标签或事件处理器(如`onload`)。服务器在处理上传请求时,仅校验了文件类型或扩展名,而未解析并清理SVG内部的恶意代码,导致文件被成功保存。攻击者随后诱导管理员或其他用户访问该SVG文件的直接链接。一旦受害者浏览器请求该资源,便会解析XML并执行其中的脚本。由于CVSS向量包含范围变更(S:C),攻击者可以利用受害者的浏览器会话对服务器发起请求,从而窃取Cookie、篡改数据或提升权限。