DECAP CMS跨站点脚本漏洞CVE-2025-57520

Decap CMS（前身为 Netlify CMS）是一个基于 Git 的开源内容管理系统，允许用户充分利用Astro的所有功能，包括图像优化和内容集合。

一、基本情况

Decap CMS 内容管理系统适用于静态网站生成器，为用户提供一种简单的方式来编辑和添加内容到任何使用静态网站生成器构建的网站。

Decap CMS 提供清晰直观的用户界面，使得编辑存储在 Git 仓库中的内容变得轻而易举，并且Decap CMS 支持两种不同方式进行安装。

栋科技漏洞库关注到Decap CMS 3.8.3版本中存在跨站脚本（XSS）漏洞，漏洞现在已经被追踪为CVE-2025-57520，CVSS 3.X评分5.7。

二、漏洞分析

CVE-2025-57520漏洞位于Decap CMS 3.8.3版本中，漏洞影响多个输入向量，并且除了查看受影响内容之外，不需要用户进行其他交互。

具体而言，这一安全漏洞源于内容预览面板在渲染来自body、tags、title和description等输入字段的数据时候，没有进行适当的净化处理。

该漏洞会在特权用户（例如管理员）打开预览面板时，允许注入任意 JavaScript 代码执行，每当用户查看预览面板时，该代码就会执行。

此存储型XSS漏洞 可能的后果包括： 会话劫持 、凭证盗窃 、内容遮挡 、将后门注入静态生成的网站等。

三、POC概念验证

管理员已设置登录后刷新可查看

两步描述

1、贡献者创建恶意条目

2、管理员打开预览，XSS 有效负载执行

四、影响范围

Decap CMS <= 3.8.3

五、修复建议

Decap CMS > 3.8.3

六、参考链接

管理员已设置登录后刷新可查看