关键漏洞信息 漏洞概述 平台: Windu CMS 版本: 4.1 报告日期: 2025年11月18日 厂商: JCD 报告来源: CERT Polska 漏洞详情 1. CVE-2025-59110 - 类型: CSRF (CWE-352) - 描述: Windu CMS 在用户编辑功能中存在CSRF漏洞,攻击者可以通过用户令牌篡改CSRF保护机制。 2. CVE-2025-59111 - 类型: Incorrect Authorization (CWE-863) - 描述: 行锗的授权实现允许具有管理员权限的攻击者绕过图形界面限制,直接通过HTTP请求访问超级管理员功能。 3. CVE-2025-59112 - 类型: CSRF (CWE-352) - 描述: 用户编辑功能中存在CSRF漏洞,攻击者可诱骗用户访问恶意网站,自动提交POST请求。 4. CVE-2025-59113 - 类型: Improper Restriction of Excessive Authentication Attempts (CWE-307) - 描述: 登录失败次数和时间未被正确记录,攻击者可通过重置 参数绕过暴力破解防护。 5. CVE-2025-59114 - 类型: CSRF (CWE-352) - 描述: 文件上传功能中存在CSRF漏洞,攻击者可诱骗用户上传恶意文件。 6. CVE-2025-59115 - 类型: Stored XSS (CWE-79) - 描述: 登录页面存在存储型XSS漏洞,非验证的HTML/JavaScript代码可被渲染并执行。 7. CVE-2025-59116 - 类型: Observing Response Discrepancy (CWE-204) - 描述: 登录过程中存在可被攻击者利用的通信差异,可能被用于暴力猜测用户名。 8. CVE-2025-59117 - 类型: Stored XSS (CWE-79) - 描述: 端点存在XSS漏洞,允许注入恶意脚本,对其他用户构成威胁。