一、 漏洞 CVE-2025-62499 基础信息
漏洞信息
# N/A
## 概述
Movable Type 存在一个**存储型跨站脚本(XSS)漏洞**,位于 **ContentType 的编辑分类集合(Edit CategorySet of ContentType)页面**中。
## 影响版本
无明确版本信息,但适用于存在该功能且未修补的 Movable Type 版本。
## 漏洞细节
- 攻击者若具有 **"ContentType Management" 权限**,可向系统中注入**恶意构造的输入数据**。
- 该恶意输入会被服务器**存储**,并在其他用户访问 Edit CategorySet 页面时被渲染执行。
- 这将导致攻击者可在受害用户的浏览器中**执行任意脚本**。
## 漏洞影响
- **用户会话劫持**:攻击者可窃取用户 Cookie 或会话令牌。
- **权限提升**:在受害用户具有管理权限时,攻击者可能执行管理操作。
- **钓鱼与重定向**:可将用户重定向至恶意网站或展示伪造的登录表单。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Movable Type contains a stored cross-site scripting vulnerability in Edit CategorySet of ContentType page. If crafted input is stored by an attacker with "ContentType Management" privilege, an arbitrary script may be executed on the web browser of the user who accesses Edit CategorySet of ContentType page.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Six Apart Movable Type 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Six Apart Movable Type是美国Six Apart公司的一个应用系统。提供包含多用户,评论,引用(TrackBack),主题等功能。 Six Apart Movable Type存在跨站脚本漏洞,该漏洞源于ContentType页面Edit CategorySet中存在存储型跨站脚本漏洞,可能导致执行任意脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62499 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62499 的情报信息
-
标题: MovableType.org – News:[Security Update] Movable Type 8.8.0, 8.4.4, 8.0.8 and 7 r.5510 (v7.906.5) released -- 🔗来源链接
标签:
神龙速读![MovableType.org – News:[Security Update] Movable Type 8.8.0, 8.4.4, 8.0.8 and 7 r.5510 (v7.906.5) released](https://cvepdf.imfht.com:2443//ti_screenshot/2025-10-23/screenshot-full-2025-10-23T05-05-16.645Z-654ad1c8d3649ebc038e.webp)
- https://www.sixapart.jp/movabletype/news/2025/10/22-1055.html
-
标题: JVN#24333679: Multiple stored cross-site scripting vulnerabilities in Movable Type -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62499
四、漏洞 CVE-2025-62499 的评论
暂无评论