关键漏洞信息 CVE-ID CVE-2025-60917 产品 OpenAtlas 制造商 Austrian Academy of Sciences Österreichische Akademie der Wissenschaften 影响的版本 <= 8.12.0 修复的版本 8.13.0 CVSS v3.1 5.1 中等 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N CWE CWE-79 参考 OpenAtlas Release Notes 发现日期 2025年8月8日 发现者 Ferat Aydin 漏洞描述 在OpenAtlas视图“/overview/network/”中,从颜色字段(如#place for Ort)获取的值未经过滤便被写回到HTML。这使得用户输入可以在HTML/属性上下文中包含在值之内。 影响 在应用上下文中执行JavaScript 厂商声明 “这些值现在会通过一个正则表达式进行检查” 建议 更新至最新版本 [OpenAtlas版本] Proof of Concept / 证明 时间线