無料スキャン
LOWCVE-2025-8847CVSS 3.5

yangzongzhuan RuoYi edit クロスサイトスクリプティング

プラットフォーム

php

コンポーネント

ruoyi

修正版

4.8.1

4.8.2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-8847 describes a cross-site scripting (XSS) vulnerability affecting RuoYi versions 4.8.0 through 4.8.1. This vulnerability allows attackers to inject malicious scripts into the application, potentially leading to session hijacking or defacement. The issue resides within the /system/notice/edit endpoint, specifically in the handling of the noticeTitle and noticeContent parameters. A patch is available in version 4.8.2.

影響と攻撃シナリオ翻訳中…

Successful exploitation of CVE-2025-8847 allows an attacker to execute arbitrary JavaScript code within the context of a victim's browser session. This can lead to a variety of malicious outcomes, including stealing session cookies, redirecting users to phishing sites, or modifying the content displayed on the RuoYi application. Given the nature of XSS, the impact can range from minor annoyance to complete compromise of user accounts and data. The vulnerability's remote accessibility significantly broadens the attack surface, making it a potential target for widespread exploitation.

悪用の状況翻訳中…

CVE-2025-8847 has been publicly disclosed, increasing the likelihood of exploitation. While no active campaigns have been definitively linked to this specific CVE, the availability of public information makes it a potential target for opportunistic attackers. The CVSS score of 3.5 (LOW) indicates a relatively low probability of exploitation, but the ease of exploitation and the potential impact warrant attention. The vulnerability was published on 2025-08-11.

リスク対象者翻訳中…

Organizations utilizing RuoYi for content management or internal applications are at risk. Specifically, deployments with weak input validation or inadequate security configurations are particularly vulnerable. Shared hosting environments running RuoYi are also at increased risk, as a compromise of one tenant could potentially impact others.

検出手順翻訳中…

• php: Examine RuoYi application logs for suspicious requests to /system/notice/edit with unusual or encoded values in the noticeTitle or noticeContent parameters. Use grep to search for patterns indicative of XSS payloads within these requests.

grep -i 'javascript:|onerror=|onload=' /var/log/apache2/access.log | grep '/system/notice/edit'

• generic web: Monitor response headers for unexpected content or redirects following requests to /system/notice/edit. Use curl to test the endpoint with various input values and observe the response.

curl -X POST -d "noticeTitle=<script>alert('XSS')</script>" http://your-ruoyi-instance/system/notice/edit

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R3.5LOWAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityNone機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
なし — 機密性への影響なし。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントruoyi
ベンダーyangzongzhuan
影響範囲修正版
4.8.0 – 4.8.04.8.1
4.8.1 – 4.8.14.8.2

弱点分類 (CWE)

CWE-79CWE-94

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日

緩和策と回避策翻訳中…

The primary mitigation for CVE-2025-8847 is to upgrade RuoYi to version 4.8.2 or later, which includes the necessary fix. If immediate upgrading is not possible, consider implementing input validation and output encoding on the noticeTitle and noticeContent parameters within the /system/notice/edit endpoint. Web application firewalls (WAFs) can also be configured to detect and block XSS attempts targeting this specific endpoint. Regularly review and update RuoYi's security configuration to minimize the risk of similar vulnerabilities.

修正方法

RuoYi を 4.8.1 より後のバージョンにアップデートし、XSS 脆弱性を修正してください。最新バージョンとアップデート手順については、ベンダーのウェブサイトを参照してください。一時的な対策として、noticeTitle および noticeContent フィールドのすべてのユーザー入力を検証およびエスケープしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2025-8847 — XSS in RuoYi?

CVE-2025-8847 is a cross-site scripting (XSS) vulnerability in RuoYi versions 4.8.0–4.8.1, allowing attackers to inject malicious scripts via the /system/notice/edit endpoint.

Am I affected by CVE-2025-8847 in RuoYi?

You are affected if you are running RuoYi versions 4.8.0 or 4.8.1 and have not upgraded to 4.8.2 or implemented mitigating controls.

How do I fix CVE-2025-8847 in RuoYi?

Upgrade RuoYi to version 4.8.2 or later. Implement input validation and output encoding on the noticeTitle and noticeContent parameters as a temporary workaround.

Is CVE-2025-8847 being actively exploited?

While no confirmed active campaigns are known, the vulnerability has been publicly disclosed and may be targeted by opportunistic attackers.

Where can I find the official RuoYi advisory for CVE-2025-8847?

Refer to the RuoYi project's official website or security advisories for the latest information and updates regarding CVE-2025-8847.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索