Calibre-Web 存在通过用户创建时“用户名”字段导致的存储型跨站脚本漏洞
漏洞概述
标识符: CVE-2025-65858 / GHSA-pc5g-j9j7-p4q3
严重程度: 低 (CVSS v4.0 评分:1.9)
受影响的软件: Calibre-Web (pip包)
受影响版本: <= 0.6.25
已修复版本: 无
漏洞详情
Calibre-Web 版本 0.6.25 中存在一个存储型跨站脚本漏洞。攻击者可以在创建新用户时,通过“用户名”字段注入恶意的 JavaScript 代码。该攻击载荷未经净化即被存储,之后在访问 /ajax/listusers 端点时会被执行。
技术说明
攻击向量
- 攻击途径: 网络
- 攻击复杂性: 低
- 攻击前提条件: 无
- 所需权限: 高
- 用户交互: 被动(受害者无需主动交互)
影响范围
- 对易受攻击系统的影响:
- 保密性: 无影响
- 完整性: 无影响
- 可用性: 无影响
- 对后续系统的影响:
- 保密性: 低度影响
- 完整性: 低度影响
- 可用性: 无影响
关联弱点
- CWE-79: 在网页生成过程中对输入的不当中和(‘跨站脚本’)。该产品在将用户可控的输入放入提供给其他用户的网页输出之前,未能进行中和或错误地进行了中和。
参考信息
- NVD漏洞详情
- GitHub技术分析
- 源代码仓库: janeczku/calibre-web
元数据
- 发布日期 (NVD): 2025年12月2日
- 发布于 GitHub 安全公告数据库: 2025年12月2日
- 审核日期: 2025年12月2日
- 最后更新: 2025年12月2日
- 利用预测评分系统分数: 0.029% (第7百分位)
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
