关键漏洞信息 漏洞类型 Cross Site Scripting (XSS) 影响版本 Affected versions: <= 2.14.2 Patched versions: 2.15 描述 Summary: 在导入日历后,事件视图页面存在跨站脚本(XSS)漏洞。标题在日历导入时未正确转义,允许任何具有页面查看权限的用户通过导入包含脚本的事件来执行XSS攻击。 细节 Details: 允许查看日历页面的任何用户可以导入一个包含事件标题为 的日历。在日历UI中显示正常,但在打开事件页面时,脚本会被执行且标题会丢失脚本部分。编辑事件时,脚本不会执行,但标题中的脚本部分仍然丢失。 证明概念 (PoC) 1. 安装并激活Mocca Calendar应用。 2. 导入一个包含事件标题为 的日历(任何新用户都可以这样做)。 3. 在新标签页中打开事件页面。 4. 页面会在完全加载内容之前运行脚本。 解决方案 Workarounds: 在打开事件页面之前,检查其标题,可以通过查看导航树或日历内的当天视图来确保标题完全显示。删除任何包含可疑文本的事件。 影响 Impact: 查看事件页面的每个人都会受到攻击的影响,可能会运行任何可能恶意的JavaScript/HTML/CSS代码。 严重性 Severity: High (8.9/10) CVSS v3 base metrics: - Attack vector: Network - Attack complexity: Low - Privileges required: Low - User interaction: Required - Scope: Changed - Confidentiality: Low - Integrity: High - Availability: High CVE ID CVE ID: CVE-2025-52133 弱点 Weaknesses: No CWEs