CVE-2025-64176 - 漏洞详情

CVE-2025-64176 (CNNVD-202511-477)

MEDIUM

中文标题:

ThinkDashboard 代码问题漏洞

英文标题:

ThinkDashboard: Arbitrary File Upload vulnerability in the Backup Import Feature

CVSS分数: 5.3

发布时间: 2025-11-06 21:12:38

漏洞类型: 代码问题

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

ThinkDashboard是MatiasDesu个人开发者的一个轻量级的、自托管的书签仪表板。 ThinkDashboard 0.6.7及之前版本存在代码问题漏洞，该漏洞源于备份导入功能未正确验证文件类型，可能导致存储型跨站脚本攻击或恶意软件分发。

英文描述:

ThinkDashboard is a self-hosted bookmark dashboard built with Go and vanilla JavaScript. In versions 0.6.7 and below, an attacker can upload any file they wish to the /data directory of the web application via the backup import feature. When importing a backup, an attacker can first choose a .zip file to bypass the client-side file-type verification. This could lead to stored XSS, or be used for other nefarious purposes such as malware distribution. This issue is fixed in version 0.6.8.

CWE类型:

CWE-20 CWE-79 CWE-434

受影响产品

厂商	产品	版本	版本范围	平台	CPE
MatiasDesuu	ThinkDashboard	< 0.6.8	-	-	`cpe:2.3:a:matiasdesuu:thinkdashboard:<_0.6.8:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

https://github.com/MatiasDesuu/ThinkDashboard/security/advisories/GHSA-jvmw-hg62-jr47 x_refsource_CONFIRM
cve.org

访问

https://github.com/MatiasDesuu/ThinkDashboard/commit/18d2f6aded0d6424cc4c8619731dd20563f4cfd8 x_refsource_MISC
cve.org

访问

CVSS评分详情

3.1 (cna)

MEDIUM

5.3

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

机密性

NONE

完整性

LOW

可用性

NONE

时间信息

发布时间:

2025-11-06 21:12:38

修改时间:

2025-11-06 21:31:41

创建时间:

2025-11-11 15:40:50

更新时间:

2025-11-11 16:00:22

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2025-64176`	2025-11-11 15:23:34	2025-11-11 07:40:50
NVD	`nvd_CVE-2025-64176`	2025-11-11 15:01:08	2025-11-11 07:48:36
CNNVD	`cnnvd_CNNVD-202511-477`	2025-11-11 15:13:01	2025-11-11 08:00:22

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 16:00:22

vulnerability_type: 未提取 → 代码问题; cnnvd_id: 未提取 → CNNVD-202511-477; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 代码问题
cnnvd_id: 未提取 -> CNNVD-202511-477
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:48:36

data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2025-64176 (CNNVD-202511-477)

中文标题:

ThinkDashboard 代码问题漏洞

英文标题:

ThinkDashboard: Arbitrary File Upload vulnerability in the Backup Import Feature

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

3.1 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史