发布日期：2025-10-20
更新日期：2025-10-20

受影响系统：

Marshmallow Packages Laravel Nova Tiptap Editor Field < 5.7.0

描述：

---

CVE(CAN) ID: CVE-2025-54082

Marshmallow Packages Laravel Nova Tiptap Editor Field是Marshmallow Packages开源的一个编辑器软件。
Marshmallow Packages Laravel Nova Tiptap Editor Field 5.7.0之前版本存在危险类型文件不加限制上传漏洞，该漏洞源于/nova-tiptap/api/file上传端点缺少认证中间件，对上传的文件缺少验证，攻击者可利用该漏洞通过构建自定义表单并发送带有有效CSRF令牌的POST 请求上传可执行或恶意文件，可能导致远程代码执行。

<**>

建议：

---

厂商补丁：

Marshmallow Packages
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/marshmallow-packages/nova-tiptap/releases

浏览次数：26
严重程度：0（网友投票）