exploitDog

GHSA-424m-fj2q-g7vg

Опубликовано: 03 дек. 2025

Источник: github

Github: Прошло ревью

CVSS3: 7.6

Описание

Aimeos GrapesJS CMS extension has possible stored XSS that's exploitable by authenticated editors

Impact

Javascript code can be injected by malicious editors for a stored XSS attack if the standard Content Security Policy is disabled.

Workaround

If the standard CSP rules are active (default in production mode), an exploit isn't possible.

Credits

Lwin Min Oo lwinminoo2244@gmail.com

Ссылки

Пакеты

Наименование

aimeos/ai-cms-grapesjs

composer

Затронутые версииВерсия исправления

>= 2021.04.1, < 2021.10.8

2021.10.8

Наименование

aimeos/ai-cms-grapesjs

composer

Затронутые версииВерсия исправления

>= 2022.04.1, < 2022.10.9

2022.10.9

Наименование

aimeos/ai-cms-grapesjs

composer

Затронутые версииВерсия исправления

>= 2023.04.1, < 2023.10.15

2023.10.15

Наименование

aimeos/ai-cms-grapesjs

composer

Затронутые версииВерсия исправления

>= 2024.04.1, < 2024.10.8

2024.10.8

Наименование

aimeos/ai-cms-grapesjs

composer

Затронутые версииВерсия исправления

>= 2025.04.1, < 2025.10.2

2025.10.2

EPSS

Процентиль: 14%

0.00045

Низкий

7.6 High

CVSS3

CVE ID

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-66468

CVSS3: 7.6

nvd

2 месяца назад

The Aimeos GrapesJS CMS extension provides page editor for creating content pages based on extensible components. Prior to 2021.10.8, 2022.10.8, 2023.10.8, 2024.10.8, and 2025.10.8, Javascript code can be injected by malicious editors for a stored XSS attack if the standard Content Security Policy is disabled. This vulnerability is fixed in 2021.10.8, 2022.10.8, 2023.10.8, 2024.10.8, and 2025.10.8.

EPSS

Процентиль: 14%

0.00045

Низкий

7.6 High

CVSS3

CVE ID

Дефекты

CWE-79