一、 漏洞 CVE-2025-9980 基础信息
漏洞信息
# QuickCMS 多个存储型XSS漏洞
## 概述
QuickCMS 存在多个存储型 XSS 漏洞,存在于页面编辑器功能(pages-form)中。
## 影响版本
- 已确认版本 6.8 存在漏洞。
- 其他版本未测试,可能也受影响。
## 细节
具有管理员权限的攻击者可利用此漏洞在网站页面中注入任意 HTML 和 JavaScript 代码,这些代码会在访问被编辑页面时被渲染或执行。
## 影响
- 攻击者可执行任意脚本,可能窃取管理员会话、篡改页面内容或发起钓鱼攻击。
- 默认情况下,管理员用户无法添加 JavaScript,但该漏洞绕过了此限制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Multiple Stored XSS in QuickCMS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
QuickCMS is vulnerable to multiple Stored XSS in page editor functionality (pages-form). Malicious attacker with admin privileges can inject arbitrary HTML and JS into website, which will be rendered/executed when visiting edited page. By default admin user is not able to add JavaScript into the website.
The vendor was notified early about this vulnerability, but didn't respond with the details of vulnerability or vulnerable version range. Only version 6.8 was tested and confirmed as vulnerable, other versions were not tested and might also be vulnerable.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Open Solution QuickCMS 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Open Solution QuickCMS是Open Solution开源的一个内容管理系统。 Open Solution QuickCMS 6.8版本存在跨站脚本漏洞,该漏洞源于页面编辑器功能存在多个存储型跨站脚本,可能导致特权管理员注入任意HTML和JS代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9980 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-9980 的情报信息
-
标题: Podatności w oprogramowaniu OpenSolution QuickCMS | CERT Polska -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-9980
四、漏洞 CVE-2025-9980 的评论
暂无评论