免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Ghost 跨站脚本漏洞(CVE-2026-24778)
一、漏洞描述:
Ghost是Ghost开源的一个托管服务。
Ghost多个版本存在跨站脚本漏洞,该漏洞源于该服务在处理恶意链接时,未对用户进行充分的安全校验,攻击者可利用该漏洞构造恶意链接,以受害者权限执行JavaScript代码,进而导致账户接管。
二、风险等级:
高
三、影响范围:
Ghost Ghost 大于 6.0.0 小于 6.14.0
Ghost Ghost 大于 5.43.0 小于 5.12.04
Ghost Ghost 大于 2.52.0 小于 2.57.0
Ghost Ghost 大于 2.29.1 小于 2.51.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/TryGhost/Ghost/releases
2 Grav跨站脚本漏洞(CVE-2025-66843)
一、漏洞描述:
Grav是Grav开源的一套可扩展的用于个人博客、小型内容发布平台和单页产品展示的CMS(内容管理系统)。
Grav 1.7.49.5之前版本存在跨站脚本漏洞,该漏洞源于页面编辑功能异常,攻击者可利用该漏洞向可编辑字段中注入恶意JavaScript载荷,并在被访问时执行恶意脚本。
二、风险等级:
高
三、影响范围:
Grav Grav ≤ 1.7.49.4
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://getgrav.org/downloads
3 Grav服务器端请求伪造漏洞(CVE-2025-66844)
一、漏洞描述:
Grav是Grav开源的一套可扩展的用于个人博客、小型内容发布平台和单页产品展示的CMS(内容管理系统)。
Grav 1.7.49.5之前版本存在服务器端请求伪造漏洞,该漏洞源于Twig模板处理不当,攻击者可利用该漏洞发起服务器端请求伪造攻击,导致信息泄漏。
二、风险等级:
高
三、影响范围:
Grav Grav ≤ 1.7.49.5
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://getgrav.org/downloads
4 WordPress plugin Booking Calendar SQL注入漏洞(CVE-2025-14383)
一、漏洞描述:
WordPress和WordPress plugin都是WordPress基金会的产品,WordPress是一套使用PHP语言开发的博客平台,该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能,WordPress plugin是一个应用插件。
Booking Calendar plugin 10.14.8及之前版本存在SQL注入漏洞,该漏洞源于对用户输入的参数清理不足,对现有SQL查询预处理不足,攻击者可利用该漏洞注入新的SQL查询,获取数据库敏感信息,导致信息泄漏。
二、风险等级:
高
三、影响范围:
WordPress Booking Calendar plugin ≤ 10.14.8
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/booking
|
发表于 2026-2-25 10:21
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡