GHSA-q769-phqg-263r

Опубликовано: 08 окт. 2025

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

VaahCMS is vulnerable to XSS through its Avatar Upload endpoint

Cross-Site Scripting in vaahcms v.2.3.1 allows a remote attacker to execute arbitrary code via upload method in the storeAvatar() method of UserBase.php

Ссылки

https://nvd.nist.gov/vuln/detail/CVE-2025-61183
https://github.com/webreinvent/vaahcms/issues/301
https://github.com/thawphone/CVE-2025-61183

Пакеты

Наименование

webreinvent/vaahcms

composer

Затронутые версииВерсия исправления

<= 2.3.1

Отсутствует

EPSS

Процентиль: 26%

0.00089

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2025-61183

Дефекты

CWE-79

Связанные уязвимости

CVE-2025-61183

CVSS3: 6.1

nvd

4 месяца назад

Cross Site Scripting in vaahcms v.2.3.1 allows a remote attacker to execute arbitrary code via upload method in the storeAvatar() method of UserBase.php

EPSS

Процентиль: 26%

0.00089

Низкий

6.1 Medium

CVSS3

CVE ID

CVE-2025-61183

Дефекты

CWE-79