一、 漏洞 CVE-2025-60506 基础信息
漏洞信息
# N/A
## 概述
Moodle PDF Annotator 插件的 v1.5 release 9 版本存在存储型跨站脚本(XSS)漏洞。
## 影响版本
- **插件版本**:PDF Annotator v1.5 release 9
- **Moodle 版本**:未明确指定,但可能影响使用该插件的多个 Moodle 版本
## 细节
- 漏洞位于插件的 **Public Comments(公共评论)** 功能中。
- 拥有低权限账户(如 Student)的攻击者可将任意 JavaScript 代码注入评论内容。
- 该恶意代码会在其他用户查看带注释的 PDF 时,在其浏览器中执行。
## 影响
- **攻击后果**:
- 会话劫持(Session Hijacking)
- 凭据窃取(Credential Theft)
- 其他攻击者可控的操作
- **受影响用户**:
- 包括 Student、Teacher 和 Admin 在内的所有用户类型
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-60506 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-60506 的情报信息
-
-
标题: GitHub - onurcangnc/moodle-xss-pdfannotator: The Moodle PDF Annotator plugin’s Public Comments feature doesn’t sanitize user input before displaying it in the PDF viewer. This allows low-privileged users to store malicious JavaScript that executes automatically when others open the annotated document, causing XSS attacks. -- 🔗来源链接
标签:
神龙速读
-
标题: CVE-2025-60506 | Stored Cross-Site Scripting (XSS) in Moodle PDF Annotator plugin (v1.5 release 9) | Onurcan Genç | Blog -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-60506
四、漏洞 CVE-2025-60506 的评论
暂无评论