关键漏洞信息 漏洞概述 类型: Cross Site Scripting (XSS) 位置: Event view page 发布者: ChiuchiuSorin 发布时间: Last week CVE ID: CVE-2025-52132 影响版本 受影响版本: <= 2.14.2 修复版本: 2.15 描述 总结: 标题在事件查看页面中未正确转义,允许具有页面查看权限的任何用户通过创建或编辑包含脚本的事件来执行XSS攻击。 详细信息: 用户可以创建一个标题包含 的事件,当打开事件页面时,脚本将被执行,导致标题中的脚本部分丢失。 PoC (概念验证) 1. 安装并激活Mocca Calendar应用。 2. 创建一个标题为 的事件(任何新用户都可以这样做)。 3. 在新标签页中打开事件页面。 4. 页面将在完全加载内容之前运行脚本。 解决方案 在打开事件页面之前,通过导航树或日历内的天视图检查其标题,以确保标题完全显示。删除任何包含可疑文本的事件。 影响 查看事件页面的每个人都容易受到攻击,可能会运行任何可能恶意的JavaScript/HTML/CSS代码。 CVSS v3 基础指标 严重性: High (8.9/10) 攻击向量: Network 攻击复杂度: Low 所需权限: Low 用户交互: Required 范围: Changed 机密性影响: Low 完整性影响: High 可用性影响: High