一、 漏洞 CVE-2025-45388 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Wagtail CMS 6.4.1版本中存在存储型跨站脚本(XSS)漏洞,该漏洞出现在文档上传功能中。攻击者可以在PDF文件中注入恶意代码,当用户在CMS界面中点击该文档时,恶意代码会被执行。

## 影响版本
- Wagtail CMS 6.4.1

## 漏洞细节
攻击者可以通过在上传的PDF文件中嵌入恶意脚本代码来利用此漏洞。当其他用户在Wagtail CMS界面中点击这些被污染的文档时,恶意脚本将得以执行。

## 影响
此漏洞可能导致任意代码执行,潜在安全威胁包括信息泄露、账户劫持或进一步的恶意行为。
                                        
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Wagtail CMS 6.4.1 is vulnerable to a Stored Cross-Site Scripting (XSS) in the document upload functionality. Attackers can inject malicious code inside a PDF file. When a user clicks the document in the CMS interface, the payload executes. NOTE: this is disputed by the Supplier because "It has been well documented that when serving uploaded files using a method outside of Wagtail (which admittedly is the default), it requires additional configuration from the developer, because Wagtail cannot control how these are served. ... For example, if a Wagtail instance is configured to upload files into AWS S3, Wagtail cannot control the permissions on how they're served, nor any headers used when serving them (a limitation of S3)."
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Wagtail CMS 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Wagtail CMS是Wagtail开源的一个内容管理系统。 Wagtail CMS 6.4.1版本存在安全漏洞,该漏洞源于文档上传功能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-45388 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-45388 的情报信息
  • 标题: GitHub - echoBRT/Wagtail-CMS-XSS: Wagtail CMS 6.4.1 Stored XSS -- 🔗来源链接

    标签:

    神龙速读

  • 标题: Security team · wagtail/wagtail Wiki · GitHub -- 🔗来源链接

    标签:

    神龙速读

    `

  • 标题: Mitigating untrusted file upload security issues · wagtail/wagtail · Discussion #12617 · GitHub -- 🔗来源链接

    标签:

    神龙速读

    `

  • 标题: Deployment: Under the hood — Wagtail Documentation 7.0 documentation -- 🔗来源链接

    标签:

    神龙速读

    `

  • 标题: Automatically set CSP when serving images and documents by RealOrangeOne · Pull Request #12672 · wagtail/wagtail · GitHub -- 🔗来源链接

    标签:

    神龙速读

    `

  • https://nvd.nist.gov/vuln/detail/CVE-2025-45388