一、 漏洞 CVE-2025-56795 基础信息
漏洞信息
# N/A
## 概述
Mealie 3.0.1 及之前版本存在跨站脚本(XSS)漏洞,位于食谱创建功能中。
## 影响版本
- Mealie ≤ 3.0.1
## 细节
在 `/api/recipes/{recipe_name}` 接口的 "note" 和 "text" 字段中,用户输入未经过适当消毒(unsanitized)即可存储并在前端页面中渲染。由于未对输入内容进行正确转义(escaping),攻击者可注入恶意脚本。
## 影响
攻击者可利用该漏洞发起持久型 XSS 攻击,可能窃取用户信息、执行恶意操作或篡改页面内容,影响应用安全性及用户数据隐私。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-56795 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Stored Cross-Site Scripting (XSS) vulnerability affecting the recipe creation functionality in Mealie versions up to 3.0.1. | https://github.com/B1tBreaker/CVE-2025-56795 | POC详情 |
三、漏洞 CVE-2025-56795 的情报信息
-
标题: [SECURITY] - Vulnerability Disclosure (High Impact) · Issue #5677 · mealie-recipes/mealie -- 🔗来源链接
标签:
神龙速读![[SECURITY] - Vulnerability Disclosure (High Impact) · Issue #5677 · mealie-recipes/mealie](https://cvepdf.imfht.com:2443//ti_screenshot/2025-09-29/screenshot-full-2025-09-29T19-05-33.257Z-53685e645d430760b8e7.webp)
-
标题: fix: Patch XSS Vulnerability by michael-genson · Pull Request #5754 · mealie-recipes/mealie · GitHub -- 🔗来源链接
标签:
神龙速读
-
标题: GitHub - B1tBreaker/CVE-2025-56795: Stored Cross-Site Scripting (XSS) vulnerability affecting the recipe creation functionality in Mealie versions up to 3.0.1. -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-56795
四、漏洞 CVE-2025-56795 的评论
暂无评论