一、 漏洞 CVE-2025-54856 基础信息
漏洞信息
# N/A
## 概述
Movable Type 的 **编辑 ContentData 页面**存在**存储型跨站脚本(XSS)漏洞**。
## 影响版本
未明确指出具体版本,但漏洞存在于包含 **Edit ContentData 页面**且支持用户输入存储的版本中。
## 细节
- 攻击者若拥有 **"ContentType Management" 权限**,可在编辑页面中插入**恶意脚本**。
- 若输入未正确过滤或转义,恶意脚本将被**存储在服务器端**。
- 当其他用户访问该页面时,脚本将在其 **Web 浏览器中执行**。
## 影响
- 攻击者可借助该漏洞**在受害用户浏览器中执行任意脚本**。
- 可能导致 **会话劫持、敏感数据泄露或页面内容篡改** 等攻击行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Movable Type contains a stored cross-site scripting vulnerability in Edit ContentData page. If crafted input is stored by an attacker with "ContentType Management" privilege, an arbitrary script may be executed on the web browser of the user who accesses Edit ContentData page.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Six Apart Movable Type 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Six Apart Movable Type是美国Six Apart公司的一个应用系统。提供包含多用户,评论,引用(TrackBack),主题等功能。 Six Apart Movable Type存在跨站脚本漏洞,该漏洞源于Edit ContentData页面存在存储型跨站脚本漏洞,可能导致执行任意脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54856 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54856 的情报信息
-
标题: MovableType.org – News:[Security Update] Movable Type 8.8.0, 8.4.4, 8.0.8 and 7 r.5510 (v7.906.5) released -- 🔗来源链接
标签:
神龙速读![MovableType.org – News:[Security Update] Movable Type 8.8.0, 8.4.4, 8.0.8 and 7 r.5510 (v7.906.5) released](https://cvepdf.imfht.com:2443//ti_screenshot/2025-10-23/screenshot-full-2025-10-23T05-05-16.645Z-654ad1c8d3649ebc038e.webp)
- https://www.sixapart.jp/movabletype/news/2025/10/22-1055.html
-
标题: JVN#24333679: Multiple stored cross-site scripting vulnerabilities in Movable Type -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-54856
四、漏洞 CVE-2025-54856 的评论
暂无评论