製品・ソフトウェアに関する情報
Vulnerability Search
BackdropのBackdrop CMSにおけるクロスサイトスクリプティングの脆弱性
Title BackdropのBackdrop CMSにおけるクロスサイトスクリプティングの脆弱性
Summary

Backdrop CMS 1.28.xの1.28.5未満および1.29.xの1.29.3未満において、XSSの問題が発見されました。CKEditor 5リッチテキストエディターを使用する際に長いテキストコンテンツを十分に分離していません。このため、攻撃者は管理者がコンテンツを編集しようとした際に実行される可能性のある特殊なHTMLおよびJavaScriptを作成できる恐れがあります。この脆弱性は、攻撃者が長いテキストコンテンツ(ノードやコメントのフォームなどを介して)を作成する権限を持ち、かつ管理者が悪意のあるコンテンツを含むコンテンツを編集(表示ではなく)する必要があるため、ある程度緩和されています。この問題はCKEditor 5モジュールを使用している場合にのみ存在します。

Possible impacts 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date Feb. 3, 2025, midnight
Registration Date Jan. 26, 2026, 7:30 p.m.
Last Update Jan. 26, 2026, 7:30 p.m.
CVSS3.0 : 警告
Score 4.4
Vector CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
Affected System
Backdrop
Backdrop CMS 1.28.0 以上 1.28.5 未満
Backdrop CMS 1.29.0 以上 1.29.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年01月26日]
  掲載		 Jan. 26, 2026, 7:30 p.m.
NVD Vulnerability Information
CVE-2025-25062
Summary

An XSS issue was discovered in Backdrop CMS 1.28.x before 1.28.5 and 1.29.x before 1.29.3. It doesn't sufficiently isolate long text content when the CKEditor 5 rich text editor is used. This allows a potential attacker to craft specialized HTML and JavaScript that may be executed when an administrator attempts to edit a piece of content. This vulnerability is mitigated by the fact that an attacker must have the ability to create long text content (such as through the node or comment forms) and an administrator must edit (not view) the content that contains the malicious content. This problem only exists when using the CKEditor 5 module.

Publication Date Feb. 3, 2025, 1:15 p.m.
Registration Date Feb. 4, 2025, 4:01 a.m.
Last Update Feb. 3, 2025, 1:15 p.m.
Related information, measures and tools
Common Vulnerabilities List