yungifez Skuul学校管理系统存在SVG文件导致的XSS漏洞本文披露了yungifez Skuul学校管理系统

CVE-2025-13784：yungifez Skuul学校管理系统存在SVG文件导致的XSS漏洞

严重性等级：低 GitHub 已审核 发布日期： 2025年11月30日至 GitHub咨询数据库 最后更新： 2025年12月8日

漏洞详情

依赖项警报： 0

受影响软件包：

包管理器： composer
包名称： yungifez/skuul (Composer)

受影响版本： <= 2.6.5 已修复版本： 无

漏洞描述

在yungifez Skuul学校管理系统2.6.5及之前版本中发现一个安全弱点。该漏洞影响了/dashboard/schools/1/edit文件中SVG文件处理组件的未知代码。此漏洞可导致跨站脚本攻击。攻击可以远程进行。漏洞利用代码已公开，并可能被利用。厂商在早期已就此事被联系，但未做出任何回应。

参考链接

由国家漏洞数据库发布： 2025年11月30日 发布至GitHub咨询数据库： 2025年11月30日 审核日期： 2025年12月8日

严重性评分

CVSS 总分： 1.9 / 10 (低)

CVSS v4 基础指标

可利用性指标：

攻击向量： 网络
攻击复杂度： 低
攻击要求： 无
所需权限： 高
用户交互： 被动

脆弱系统影响指标：

机密性： 无
完整性： 低
可用性： 无

后续系统影响指标：

机密性： 无
完整性： 无
可用性： 无

CVSS向量字符串： CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P

EPSS 分数

分数： 0.025% (第6百分位) 此分数估计了此漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点

弱点ID： CWE-79 描述： 在网页生成过程中未能正确中和用户可控的输入（“跨站脚本”） 产品在将用户可控的输入放置到提供给其他用户的网页输出之前，未对其进行中和或中和不正确。 glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxcq94/9enpXZi0Gds3FWc3dit3Ay2yddBHJpiU6neoVPA==