Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in Jirafeau 漏洞信息(CVE-2025-7066)

一、漏洞 CVE-2025-7066 基础信息

漏洞信息

                                        # 在Jirafeau中 web 页生成期间输入的不正确中和（'跨站脚本'）

## 漏洞概述
Jirafeau 本应阻止文本文件的浏览器预览功能，以防止如 SVG 和 HTML 文件被利用进行跨站脚本攻击（XSS）。然而，通过操纵 MIME 类型以包含逗号和另一个 MIME 类型（例如 `image/png,text/html`），攻击者可以绕过检查，从而导致 XSS 攻击。

## 影响版本
该漏洞影响所有在修复补丁之前发布且未修复此问题的 Jirafeau 版本。

## 细节
Jirafeau 通过存储文件的 MIME 类型，并允许以 `image/`（除了 `image/svg+xml`）、`video/` 和 `audio/` 开头的 MIME 类型进行浏览器预览来防止 XSS 攻击。然而，攻击者可以通过发送包含逗号且带有另一个 MIME 类型（例如 `text/html`）的操纵 MIME 类型来绕过此检查。浏览器会识别多个 MIME 类型，`text/html` 会优先解析，从而可能允许攻击者进行 XSS 攻击。

## 影响
攻击者可以通过上传特制文件来实现跨站脚本攻击，从而可能窃取用户数据或执行其他恶意操作。修复措施已增强 MIME 类型检查，当存储的 MIME 类型包含逗号时，将阻止浏览器预览。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in Jirafeau

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Jirafeau normally prevents browser preview for text files due to the possibility that for example SVG and HTML documents could be exploited for cross site scripting. This was done by storing the MIME type of a file and allowing only browser preview for MIME types beginning with image (except for image/svg+xml, see CVE-2022-30110 and CVE-2024-12326), video and audio. However, it was possible to bypass this check by sending a manipulated MIME type containing a comma and an other MIME type like text/html (for example image/png,text/html). Browsers see multiple MIME types and text/html would takes precedence, allowing a possible attacker to do a cross-site scripting attack. The check for MIME types was enhanced to prevent a browser preview when the stored MIME type contains a comma.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

Jirafeau 跨站脚本漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Jirafeau是Jérôme Jutteau个人开发者的一种上传文件的简单方法。 Jirafeau存在跨站脚本漏洞，该漏洞源于MIME类型检查绕过，可能导致跨站脚本攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站脚本

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-7066 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-7066 的情报信息

标题： Check for commas in MIME type before generating preview (79464ec6) · Commits · jirafeau / Jirafeau · GitLab -- 🔗来源链接

标签：
神龙速读
标题： CVE-2022-30110 | CVE -- 🔗来源链接

标签：
标题： CVE Record: CVE-2024-12326 -- 🔗来源链接

标签：
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-7066

一、 漏洞 CVE-2025-7066 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-7066 的公开POC

三、漏洞 CVE-2025-7066 的情报信息

一、漏洞 CVE-2025-7066 基础信息