关键信息总结 漏洞概述 安全公告编号: OXAS-ADV-2025-0003 发布者: Open-Xchange GmbH 公告状态: Final 版本: 2 摘要: 包含多个跨站脚本 (XSS) 漏洞的详细信息和影响的产品。 --- 漏洞详情 1. XSS using unescaped user-ids in OX Documents (CVE-2025-30190) CVE ID: CVE-2025-30190 CWE ID: CWE-79 CVSS v3.1: MEDIUM 描述: 恶意内容可以在编辑Office文档时注入脚本代码。 修复: 部署更新和补丁,建议及时安装。 影响产品版本: - OX App Suite office (8.35.1513817, 8.39.1565928, 8.40.1565934, 8.41.1523928) 2. XSS through sanitizer bypass for CSS elements (CVE-2025-59025) CVE ID: CVE-2025-59025 CWE ID: CWE-79 CVSS v3.1: MEDIUM 描述: 恶意内容可以在电子邮件中执行脚本代码。 修复: 请部署提供的更新和补丁。 影响产品版本: - OX App Suite backend (多个版本受影响,包括8.35.107、8.38.89、8.39.83、8.40.68、8.41.60) 3. XSS based on filetype confusion in download sanitization (CVE-2025-30186) CVE ID: CVE-2025-30186 CWE ID: CWE-79 CVSS v3.1: MEDIUM 描述: 上传恶意内容作为文件时,可以通过攻击者控制的链接执行脚本代码。 修复: 部署提供的更新和补丁。 影响产品版本: - OX App Suite backend (多个版本受影响,包括8.35.107、8.38.89、8.39.83、8.40.68、8.41.61) --- 通用修复建议 请部署提供的更新和补丁,确保所有受影响的版本得到及时修复,以防止潜在的安全风险。