製品・ソフトウェアに関する情報
Vulnerability Search
BackdropのBackdrop CMSにおけるクロスサイトスクリプティングの脆弱性
Title BackdropのBackdrop CMSにおけるクロスサイトスクリプティングの脆弱性
Summary

Backdrop CMS 1.28.5 より前の 1.28.x および 1.29.3 より前の 1.29.x にクロスサイトスクリプティング(XSS)の問題が発見されました。アップロードされたSVG画像に含まれる可能性のある危険なSVGタグを十分に検証していません。SVG画像はクリック可能なリンクや実行可能なスクリプトを含むことができ、巧妙に作成されたSVGを使用すると、SVG画像が表示された際にブラウザでスクリプトが実行される可能性があります。この問題は、攻撃者がSVG画像をアップロードできる必要があることと、Backdropが全てのアップロードされたSVG画像を<img>タグ内に埋め込むことでスクリプトの実行を防いでいるため、軽減されています。埋め込まれたスクリプトを実行するには、SVGをそのURLで直接表示する必要があります。

Possible impacts 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date Feb. 3, 2025, midnight
Registration Date Jan. 26, 2026, 7:30 p.m.
Last Update Jan. 26, 2026, 7:30 p.m.
CVSS3.0 : 警告
Score 4.4
Vector CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
Affected System
Backdrop
Backdrop CMS 1.28.0 以上 1.28.5 未満
Backdrop CMS 1.29.0 以上 1.29.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年01月26日]
  掲載		 Jan. 26, 2026, 7:30 p.m.
NVD Vulnerability Information
CVE-2025-25063
Summary

An XSS issue was discovered in Backdrop CMS 1.28.x before 1.28.5 and 1.29.x before 1.29.3. It does not sufficiently validate uploaded SVG images to ensure they do not contain potentially dangerous SVG tags. SVG images can contain clickable links and executable scripting, and using a crafted SVG, it is possible to execute scripting in the browser when an SVG image is viewed. This issue is mitigated by the attacker needing to be able to upload SVG images, and that Backdrop embeds all uploaded SVG images within <img> tags, which prevents scripting from executing. The SVG must be viewed directly by its URL in order to run any embedded scripting.

Publication Date Feb. 3, 2025, 1:15 p.m.
Registration Date Feb. 4, 2025, 4:01 a.m.
Last Update Feb. 3, 2025, 1:15 p.m.
Related information, measures and tools
Common Vulnerabilities List