漏洞信息 漏洞描述 CVE-2023-2325: M-Files Classic Web 在 23.10 之前的版本和 LTS Service Release 版本 23.2 LTS SR4 和 23.8 LTS SR1 之前存在存储型 XSS 漏洞,允许攻击者通过存储的 HTML 文档在用户浏览器上执行脚本。 影响产品 M-Files Server 23.10 之前的版本 M-Files Server 23.2 LTS SR4 之前的版本(此服务版本不受影响) M-Files Server 23.8 LTS SR1 之前的版本(此服务版本不受影响) 更多信息 利用此漏洞需要访问 M-Files Vault 以存储恶意 HTML 文件,并通过提供的链接(如邮件中发送的链接)让用户打开文件。从 M-Files Web 正常打开 Vault 中的文件不会触发漏洞。 CVSS 3.1 基础评分: 7.3 CVSS 3.1 临时评分: 6.6 CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N/E:P/RL:O/RC:R CWE: CVE-79: 在网页生成过程中对输入进行不当中立化(跨站脚本攻击) CAPEC: CAPEC-592 存储型 XSS 内部 ID: 167253 发布日期: 2023-10-19 致谢: 发现者 Thomas Riedmaier / Siemens Energy, Abian Blome / Siemens Energy 可利用性 公开披露: 无 - 负责任地报告 已被利用: 否 利用概率: 低 - 负责任地报告 链接 CVE记录 历史 2023-10-20 发布