Datenbank der SchwachstelleCVE-2025-66026

CVE-2025-66026:
PHP Schwachstellenanalyse und -minderung

Überblick

CVE-2025-66026 is a reflected Cross-Site Scripting (XSS) vulnerability discovered in REDAXO CMS, affecting versions prior to 5.20.1. The vulnerability exists in the Mediapool view where the request parameter args[types] is rendered into an info banner without proper HTML-escaping (GitHub Advisory).

Technische Details

The vulnerability stems from improper input sanitization in the Mediapool component. The control flow begins in redaxo/src/addons/mediapool/pages/index.php which reads args via rex_request('args', 'array') and passes them to media.list.php. The vulnerability occurs when $argUrl['args']['types'] is injected into an HTML string without proper escaping. The CVSS v3.1 score is 6.1 (Medium) with vector string CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N (GitHub Advisory).

Aufprall

When exploited, this vulnerability allows arbitrary JavaScript execution in the backend context, enabling attackers to steal session cookies, CSRF tokens, and other sensitive data. Additionally, it allows attackers to perform any administrative actions on behalf of the affected user when they visit a crafted link while logged in (GitHub Advisory).

Risikominderung und Problemumgehungen

The vulnerability has been patched in REDAXO CMS version 5.20.1. The fix involves implementing proper HTML escaping for the args[types] parameter using rex_escape() function (GitHub Commit).

Zusätzliche Ressourcen

Quelle: Dieser Bericht wurde mithilfe von KI erstellt

Anzeigen anfälliger Instanzen

Sie sind noch kein Wiz-Kunde? Sehen Sie, welche CVEs in Ihrer Umgebung ausnutzbar sind.

Holen Sie sich ein CVE-Assessment

6.1

Punktzahl

Veröffentlicht November 26, 2025

Strenge MEDIUM

CNA-Punktzahl 6.1

Betroffene Technologien

Hat öffentlichen Exploit Nein

Hat CISA KEV Exploit Nein

CISA KEV Erscheinungsdatum N/A

CISA KEV Fälligkeitsdatum N/A

Perzentil der Ausbeutungswahrscheinlichkeit (EPSS) 10.2

Ausbeutungswahrscheinlichkeit (EPSS) N/A

Betroffene Pakete und Bibliotheken

redaxo/source

Quellen

NVD
GitHub Advisory Database
- Composer Strenge MEDIUMHat FixHinzugefügt am:Nov 26, 2025

Eine CVE-Risikobewertung erhalten

Erhalten Sie eine priorisierte Ansicht der CVEs in Ihrer Cloud – damit Sie sich auf das konzentrieren können, was ausnutzbar ist, nicht nur auf das, was aufgelistet ist.

Bewertung anfordern

Verwandt PHP Schwachstellen:

CVE-Kennung	Strenge	Punktzahl	Technologieen	Name der Komponente	CISA KEV-Exploit	Hat fix	Veröffentlichungsdatum
CVE-2025-64050	HIGH	7.2	PHP	redaxo/source	Nein	Ja	Nov 25, 2025
CVE-2025-65960	MEDIUM	6.6	PHP	contao/core-bundle	Nein	Ja	Nov 25, 2025
CVE-2025-65956	MEDIUM	6.5	PHP	getformwork/formwork	Nein	Ja	Nov 26, 2025
CVE-2025-66026	MEDIUM	6.1	PHP	redaxo/source	Nein	Ja	Nov 26, 2025
CVE-2025-65961	LOW	3.3	PHP	contao/core-bundle	Nein	Ja	Nov 25, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."

David EstlickCISO

"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "

Adam FletcherSicherheitsbeauftragter

"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"

Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement

Demo anfordern

CVE-2025-66026: PHP Schwachstellenanalyse und -minderung