在 /文件端点(CVE-2025-32960)中,古巴通用REST API容易受到跨站点脚本(XSS)的影响
CVE编号
CVE-2025-32960
利用情况
暂无
补丁情况
N/A
披露时间
2025-04-23
漏洞描述
CUBA REST API 插件对数据进行和实体进行操作。在版本 7.2.7 之前,由文件路径和名称组成的输入参数可以被操纵,如果名称部分以 .html 结尾,则会返回 Content-Type 头部的 text/html。这可能会允许在浏览器中执行恶意 JavaScript 代码。为了成功攻击,需要提前上传一个恶意文件。这个问题已在版本 7.2.7 中得到修复。Jmix 文档网站上提供了一个解决方法。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论