nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Attributes functionality
好的,我现在需要帮用户总结一篇文章的内容,控制在100字以内。用户已经提供了文章的详细内容,包括漏洞类型、影响范围、CVE编号以及发现者的信息。 首先,我要确定文章的主要内容。这篇文章提到了nopCommerce 4.90.0版本中的一个Stored XSS漏洞,具体是在Attributes管理模块的Name字段中。攻击者可以插入JavaScript代码,当有权限的用户访问相关页面时会被触发。这个漏洞已经被分配了CVE-2025-65589,并由AlterSec t/a PenTest.NZ发现。 接下来,我需要将这些信息浓缩到100字以内。要确保包含关键点:软件名称、版本、漏洞类型、影响范围和CVE编号。同时,语言要简洁明了,避免使用复杂的术语。 可能会遇到的问题是如何在有限的字数内涵盖所有重要信息。可能需要省略一些细节,比如具体的攻击向量或发现者的全名,但要保留核心内容。 最后,检查总结是否符合用户的要求:直接描述内容,不使用特定的开头语句,并且控制在100字以内。 </think> nopCommerce 4.90.0版本存在Stored XSS漏洞,攻击者可通过Attributes管理模块的Name字段插入JavaScript代码。该漏洞影响具有权限的用户访问相关页面时触发。已分配CVE-2025-65589编号。 2025-12-16 05:19:4 Author: seclists.org(查看原文) 阅读量:10 收藏
fulldisclosure logo

Full Disclosure mailing list archives

From: Onur Tezcan via Fulldisclosure <fulldisclosure () seclists org>
Date: Fri, 12 Dec 2025 14:35:08 +0000
 [Attack Vectors]
      > It was detected that a Stored XSS vulnerability in the Attributes management workflow. An attacker can insert 
JavaScript into the Name field when adding a new Attribute Group (Catalog > Attributes > Specification attributes > Add 
Group > Name input field). To exploit the vulnerability, privileged users should visit the "Specification attributes 
page.

Assigned CVE code:
    > CVE-2025-65589

 [Discoverer]
      > AlterSec t/a PenTest.NZ


_______________________________________________
Sent through the Full Disclosure mailing list
https://nmap.org/mailman/listinfo/fulldisclosure
Web Archives & RSS: https://seclists.org/fulldisclosure/

Current thread:

  • nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Attributes functionality Onur Tezcan via Fulldisclosure (Dec 15)

文章来源: https://seclists.org/fulldisclosure/2025/Dec/16
如有侵权请联系:admin#unsafe.sh