nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Blog posts functionality in the Content Management area
嗯,用户让我帮忙总结一篇文章的内容,控制在100字以内,而且不需要用“文章内容总结”之类的开头。看起来用户可能需要一个简洁明了的摘要,可能是为了快速了解文章内容或者分享给他人。 首先,我需要仔细阅读用户提供的文章内容。这篇文章来自Full Disclosure邮件列表,是关于nopCommerce 4.90.0的一个漏洞。漏洞类型是Stored XSS,出现在内容管理下的博客文章部分。攻击者可以在博客正文的概述字段中添加恶意HTML/JavaScript代码,这些代码会被存储在后端,并在访问博客页面时执行。 然后,文章提到了CVE编号是CVE-2025-65590,发现者是AlterSec t/a PenTest.NZ。这些信息都很重要,应该包含在摘要中。 接下来,我需要将这些关键点浓缩到100字以内。要确保涵盖漏洞类型、位置、影响以及CVE编号和发现者。同时,语言要简洁明了,避免使用复杂的术语。 可能的结构是:产品名称+版本+漏洞类型+具体位置+影响+CVE编号+发现者。这样既全面又简洁。 最后,检查字数是否符合要求,并确保没有遗漏重要信息。 </think> nopCommerce 4.90.0 存在跨站脚本(XSS)漏洞,攻击者可通过博客文章功能注入恶意 HTML/JavaScript 代码并执行。该漏洞已分配 CVE-2025-65590 编号,由 AlterSec t/a PenTest.NZ 发现。 2025-12-16 05:19:7 Author: seclists.org(查看原文) 阅读量:12 收藏
fulldisclosure logo

Full Disclosure mailing list archives

From: Onur Tezcan via Fulldisclosure <fulldisclosure () seclists org>
Date: Fri, 12 Dec 2025 14:37:07 +0000
 [Attack Vectors]
      > It was detected that a Stored XSS vulnerability in the "Content Management" > "Blog posts" area. Malicious 
HTML/JavaScript added to the Body overview field of a blog post is stored in the backend and executes when the blog 
page is visited (http://localhost/blog/)

Assigned CVE code:
       > CVE-2025-65590

 [Discoverer]
      > AlterSec t/a PenTest.NZ

_______________________________________________
Sent through the Full Disclosure mailing list
https://nmap.org/mailman/listinfo/fulldisclosure
Web Archives & RSS: https://seclists.org/fulldisclosure/

Current thread:

  • nopCommerce 4.90.0 is vulnerable to Cross Site Scripting (XSS) via the Blog posts functionality in the Content Management area Onur Tezcan via Fulldisclosure (Dec 15)

文章来源: https://seclists.org/fulldisclosure/2025/Dec/17
如有侵权请联系:admin#unsafe.sh