io.jmix.rest:jmix-rest允许XSS在通用REST API(CVE-2025-32951)的 /文件端点中
CVE编号
CVE-2025-32951
利用情况
暂无
补丁情况
N/A
披露时间
2025-04-23
漏洞描述
Jmix是一套用于加速Spring Boot数据为中心的应用开发的库和工具集。在版本1.0.0至1.6.1和版本2.0.0至2.3.4中,输入参数(包含文件路径和名称)可以被操纵,如果名称部分以“.html”结尾,则会返回Content-Type头信息中的text/html。这可能会允许恶意JavaScript代码在浏览器中执行。为了成功攻击,需要提前上传恶意文件。这个问题已在版本1.6.2和版本2.4.0中得到修复。在Jmix文档网站上提供了一个解决方案。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论