从该网页截图中可以获取到以下关于漏洞的关键信息: 漏洞标题:SVGs uploaded through the CMS AssetManager were not sanitized 漏洞严重性:Low 受影响的包:winter/wn-cms-module (Composer) 受影响的版本:<=1.2.9 修复的版本:1.2.10 CVSS v3.1 基础指标: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: High - User Interaction: Required - Scope: Unchanged - Confidentiality: None - Integrity: None - Availability: None CVE ID:CVE-2026-22254 影响:受影响的 Winter CMS 版本允许拥有 权限的用户通过 CMS Asset Manager 上传未自动清理的 SVG 文件。要积极利用此安全问题,攻击者需要使用具有以下权限的用户帐户访问后端: 。Winter CMS 维护者强烈建议一般情况下仅将此权限保留给受信任的管理员和开发人员。 修复建议:SVG 资产的清理现在会在通过 CMS Asset Manager 上传时自动应用。此安全问题已通过 commit 3a7f74b 解决。 绕过方法(如果不能升级):可以将 commit 3a7f74b 应用至你的 Winter CMS 安装以手动解决此问题。 上报者:iamunixtz