关键信息 漏洞概述 漏洞类型: 多个跨站脚本 (XSS) 漏洞 受影响软件: OpenAtlas v8.9.0 发现者: Andrea Intralongo (acme) 发布日期: 2025年8月28日 标识符: INCIBE-2025-0460 重要性: 中等(3 - Medium) 影响资源 OpenAtlas, v8.9.0 版本 描述 INCIBE 协调发布了影响 OpenAtlas 的八个中等严重性漏洞,这些漏洞由奥地利数字人文和文化遗产中心 (ACDH-CH) 发现。 这些漏洞被分配了以下代码:CVE-2025-40702 至 CVE-2025-40709,CVSS v4.0 基础分数为 5.1。 解决方案 漏洞已在版本 8.10.1 中修复,该版本可在 GitHub 上获取。 细节 存在多个存储型 XSS 漏洞,由于 POST 请求发送时对用户输入验证不足。 这些漏洞可能允许远程用户向认证用户发送特制查询,窃取其会话 cookie 详细信息。 CVE 列表 CVE-2025-40702: "Insert/file" 请求的 "creator" 和 "license_holder" 参数 CVE-2025-40703: "Insert/group" 请求的 "name" 和 "alias-0" 参数 CVE-2025-40704: "Insert/edition" 请求的 "name" 参数 CVE-2025-40705: "Insert/acquisition" 请求的 "name" 参数 CVE-2025-40706: "Insert/source" 请求的 "name" 参数 CVE-2025-40707: "Insert/place" 请求的 "name" 和 "alias-0" 参数 CVE-2025-40708: "Insert/event" 请求的 "name" 参数 CVE-2025-40709: "Insert/person/" 请求的 "name" 和 "alias-0" 参数