yungifez Skuul学校管理系统存在SVG文件导致的XSS漏洞

CVE-2025-13784：yungifez Skuul学校管理系统存在SVG文件导致的XSS漏洞

严重性等级：低
GitHub 已审核
发布日期： 2025年11月30日 至 GitHub咨询数据库
最后更新： 2025年12月8日

漏洞详情

依赖项警报： 0

受影响软件包：

• 包管理器： composer
• 包名称： yungifez/skuul (Composer)

受影响版本： <= 2.6.5
已修复版本： 无

漏洞描述

在yungifez Skuul学校管理系统2.6.5及之前版本中发现一个安全弱点。该漏洞影响了/dashboard/schools/1/edit文件中SVG文件处理组件的未知代码。此漏洞可导致跨站脚本攻击。攻击可以远程进行。漏洞利用代码已公开，并可能被利用。厂商在早期已就此事被联系，但未做出任何回应。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-13784
• https://gist.github.com/thezeekhan/7fc54fd44bc5f318be0350b367b2d8ff
• https://vuldb.com/?ctiid.333788
• https://vuldb.com/?id.333788
• https://vuldb.com/?submit.689012

由国家漏洞数据库发布： 2025年11月30日
发布至GitHub咨询数据库： 2025年11月30日
审核日期： 2025年12月8日

严重性评分

CVSS 总分： 1.9 / 10 (低)

CVSS v4 基础指标

可利用性指标：

• 攻击向量： 网络
• 攻击复杂度： 低
• 攻击要求： 无
• 所需权限： 高
• 用户交互： 被动

脆弱系统影响指标：

• 机密性： 无
• 完整性： 低
• 可用性： 无

后续系统影响指标：

• 机密性： 无
• 完整性： 无
• 可用性： 无

CVSS向量字符串： CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P

EPSS 分数

分数： 0.025% (第6百分位)
此分数估计了此漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

弱点ID： CWE-79
描述： 在网页生成过程中未能正确中和用户可控的输入（“跨站脚本”）
产品在将用户可控的输入放置到提供给其他用户的网页输出之前，未对其进行中和或中和不正确。
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxcq94/9enpXZi0Gds3FWc3dit3Ay2yddBHJpiU6neoVPA==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码