一、 漏洞 CVE-2025-71166 基础信息

                                        # Typesetter CMS 移动消息反射XSS漏洞

## 概述
Typesetter CMS 5.1 及以下版本在管理界面的工具状态消息处理中存在反射型跨站脚本（XSS）漏洞。

## 影响版本
Typesetter CMS 5.1 及之前版本。

## 细节
漏洞位于 `include/admin/Tools/Status.php` 文件，`path` 参数在未进行适当输出编码的情况下被直接反射到 HTML 输出中。

## 影响
经过身份认证的攻击者可提交包含恶意 HTML 或 JavaScript 的输入，导致在已认证用户的浏览器会话上下文中执行任意脚本。
                                        

二、漏洞 CVE-2025-71166 的公开POC

三、漏洞 CVE-2025-71166 的情报信息

• 标题： Reflected XSS in move message · Issue #707 · Typesetter/Typesetter -- 🔗来源链接

  标签：issue-tracking

  神龙速读：

                                          ### 漏洞信息
  
  - **漏洞类型**: Reflected XSS
  - **影响文件**: 
    - `https://github.com/Typesetter/Typesetter/blob/master/include/admin/Tools/Status.php#L291`
    - `https://github.com/Typesetter/Typesetter/blob/master/include/admin/Tools/Status.php#L327`
  - **问题描述**: 
    - `REQUEST` 参数 `path` 未被正确处理，直接输出到页面上。
  - **PoC**: 
    - 请求方法: GET/POST
    - 请求路径示例: `path=<img src=# onerror=alert(1)>`
  - **影响**: 
    - 允许攻击者在用户浏览器中执行恶意脚本，可能造成敏感数据访问、会话劫持或恶意软件分发。
    - 如果有任何其他问题，可以通过邮件 `snow1nd3xf@gmail.com` 联系提交者。
  
  - **状态**: Open (未被分配处理者，无标签，无项目，无里程碑，无关联事项)
  - **发现者**: Snow1nd，于 2025年3月9日 报告此漏洞。
                                          

  

• 标题： Typesetter CMS Reflected XSS via Move Message Handling | Advisories | VulnCheck -- 🔗来源链接

  标签：third-party-advisory

  神龙速读：

                                          ### 关键信息总结
  
  - **标题**: Typesetter CMS Reflected XSS via Move Message Handling
  - **严重程度**: MEDIUM
  - **日期**: January 14, 2026
  - **漏洞ID**: CVE-2025-71166
  - **CVE类型**: CWE-79 Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting')
  - **参考**: Typesetter GitHub Issue
  - **贡献者**: Snow1nd, Beatriz Fresno Naumova
  - **受影响的版本**: Typesetter <= 5.1
  - **描述**: Typesetter CMS versions up to and including 5.1 contain a reflected cross-site scripting (XSS) vulnerability in the administrative interface within the Tools Status move message handling. The path parameter is reflected into the HTML output without proper output encoding in include/admin/Tools/Status.php. An authenticated attacker can supply crafted input containing HTML or JavaScript, resulting in arbitrary script execution in the context of an authenticated user's browser session.
  - **CVSS v4向量**: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
                                          

  

• 标题： GitHub - Typesetter/Typesetter: Open source CMS written in PHP focused on ease of use with true WYSIWYG editing and flat-file storage. -- 🔗来源链接

  标签：product

  神龙速读：

                                          ### 关键信息
  
  #### 项目概述
  - **Type**: 开源CMS
  - **语言**: PHP (71.6%)、SCSS (18.2%)、JavaScript (5.5%)
  - **功能**: WYSIWYG编辑、扁平文件存储
  
  #### 安全与维护
  - **仓库星级**: 231星星
  - **关注者数量**: 33位关注者
  - **Forks数量**: 99份分支
  
  #### 重要特性
  - 基于PHP的开源内容管理系统
  - 支持多种语言和库，如Bootstrap和SCSS
  - 提供WYSIWYG编辑和扁平文件存储功能
  - 下载页面、官方文档、论坛和Wiki等资源链接
  
  #### 开发与贡献
  - 贡献指南提供了详尽的命令行和UI操作流程
  - 可通过GitHub提交漏洞修复与功能增强建议
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-71166

四、漏洞 CVE-2025-71166 的评论