关键漏洞信息 漏洞概述 CVE ID: CVE-2025-66305 CVSS v4.0: 8.2/10 类型: Denial of Service (DoS) 影响的版本与修复版本 受影响版本: 1.7.48 修复版本: 1.8.0-beta.27 漏洞描述 Endpoint: Submenu: Languages Parameter: Supported Application: Grav v 1.7.48 漏洞详情 在Grav的管理员配置面板的“Languages”子菜单中,发现了一个拒绝服务(DoS)漏洞。特别是,当 参数未能正确验证用户输入时,如果插入了畸形值(如单正斜杠 或XSS测试字符串),会导致服务器上出现致命的正则表达式解析错误。 这会导致应用程序范围的故障,因为使用了构造不正确的正则表达式导致 函数出错,结果产生错误: 触发后,网站对所有用户完全不可用。 证明概念(PoC) Payloads: 复现步骤: 1. 登录Grav管理面板 2. 导航至:Configuration → System → Languages 3. 定位 字段 4. 插入其中一个payload(例如单正斜杠 ) 5. 点击Save 影响 全站服务中断 所有登录和管理员视图崩溃 潜在可被以下用户利用: - 管理面板用户 - CSRf如果配置错误