关键信息 漏洞编号: CVE-2025-8521 受影响产品: Givanz Vvweb up to 1.0.5 漏洞类型: Cross Site Scripting (XSS) 影响组件: Add Type Handler 受影响文件: /vadmin123/index.php?module=settings/post-types CVE分类: CWE-79 (Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')) 攻击方式: 可以远程发起攻击,需要用户交互 利用难度: 简单 修复建议: 升级到版本1.0.6或应用补丁 补丁来源: GitHub.com 补丁哈希: b53c7161da606f512b7efcb392d6ffc708688d49/605a70f8729e4d44ebe272671cb1e43e3d6ae014 相关链接: - hkohi.ca (漏洞详情和PoC) - GitHub (升级包下载) 漏洞描述 该漏洞存在于Givanz Vvweb 1.0.5及以下版本的Add Type Handler组件中,具体在/vadmin123/index.php?module=settings/post-types文件的一个未知函数中。由于对用户可控输入的不正确处理,导致了跨站脚本(XSS)漏洞。攻击者可以远程利用此漏洞,且已知存在公开的利用代码。建议用户尽快升级到1.0.6版本或应用提供的补丁以消除此问题。