CVE-2025-58765 (CNNVD-202509-1151)
中文标题:
wabac.js 跨站脚本漏洞
英文标题:
wabac.js has XSS vulnerability in 404 error handling logic
漏洞描述
中文描述:
wabac.js是Webrecorder开源的一个档案浏览客户端。 wabac.js 2.23.10及之前版本存在跨站脚本漏洞,该漏洞源于requestURL参数未清理和转义,可能导致反射型跨站脚本攻击。
英文描述:
wabac.js provides a full web archive replay system, or 'wayback machine', using Service Workers. A Reflected Cross-Site Scripting (XSS) vulnerability exists in the 404 error handling logic of wabac.js v2.23.10 and below. The parameter `requestURL` (derived from the original request target) is directly embedded into an inline `<script>` block without sanitization or escaping. This allows an attacker to craft a malicious URL that executes arbitrary JavaScript in the victim’s browser. The scope may be limited by CORS policies, depending on the situation in which wabac.js is used. The vulnerability is fixed in wabac.js v2.23.11.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| webrecorder | wabac.js | < 2.23.11 | - | - |
cpe:2.3:a:webrecorder:wabac.js:<_2.23.11:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
CVSS评分详情
3.1 (cna)
HIGHCVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2025-58765 |
2025-11-11 15:23:30 | 2025-11-11 07:40:46 |
| NVD | nvd_CVE-2025-58765 |
2025-11-11 15:01:02 | 2025-11-11 07:48:33 |
| CNNVD | cnnvd_CNNVD-202509-1151 |
2025-11-11 15:12:56 | 2025-11-11 08:00:09 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 跨站脚本
- cnnvd_id: 未提取 -> CNNVD-202509-1151
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']