CVE-2025-15505 - Luxul XWR-600 Web管理界面跨站脚本漏洞
概述
在Luxul XWR-600(版本4.0.1及之前)中发现一个漏洞。受影响的部分是Web管理界面中某个未知功能。对“访客网络/无线配置SSID”参数的操作会导致跨站脚本(XSS)。攻击可以远程发起。漏洞利用方式已被公开,并可能被利用。厂商在此披露前已被联系,但未提供技术声明。
漏洞信息
- 发布日期: 2026年1月11日 凌晨2:15
- 最后修改日期: 2026年1月11日 凌晨2:15
- 可否远程利用: 是!
- 来源: cna@vuldb.com
受影响的软件产品 目前尚无受影响的软件产品记录。 总计受影响的厂商:0 | 受影响的产品:0
CVSS 评分
| 评分 | 版本 | 严重等级 | 攻击向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 3.3 | CVSS 2.0 | 低 | AV:N/AC:L/Au:M/C:N/I:P/A:N | 6.4 | 2.9 | cna@vuldb.com |
| 2.4 | CVSS 3.1 | 低 | AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N | 0.9 | 1.4 | cna@vuldb.com |
| 4.8 | CVSS 4.0 | 中 | AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | - | - | cna@vuldb.com |
解决方案
通过应用厂商更新来解决Web管理界面中的跨站脚本漏洞。
- 将Luxul XWR-600更新至最新的固件版本。
- 应用厂商提供的安全补丁。
- 对“访客网络/无线配置SSID”的用户输入进行净化处理。
相关咨询、解决方案和工具链接
| URL | 资源 |
|---|---|
| https://docs.google.com/document/d/1S2f5lT0b-KE9m6xq8BY6eSixv6SgsGL1e8QQzeOkq5c/ | - |
| https://vuldb.com/?ctiid.340435 | - |
| https://vuldb.com/?id.340435 | - |
| https://vuldb.com/?submit.727924 | - |
相关CWE(常见缺陷枚举)
- CWE-79: 网页生成期间输入净化不当(‘跨站脚本’)
- CWE-94: 代码生成控制不当(‘代码注入’)
常见攻击模式枚举与分类 (CAPEC)
- CAPEC-63: 跨站脚本 (XSS)
- CAPEC-85: AJAX 信息收集
- CAPEC-209: 利用MIME类型不匹配进行XSS攻击
- CAPEC-588: 基于DOM的XSS攻击
- CAPEC-591: 反射型XSS攻击
- CAPEC-592: 存储型XSS攻击
- CAPEC-35: 利用非可执行文件中的可执行代码
- CAPEC-77: 操纵用户控制的变量
- CAPEC-242: 代码注入
GitHub上的漏洞利用和概念验证 (PoC) 我们扫描GitHub仓库以检测新的漏洞利用概念验证。以下列表是已在GitHub上发布的公共漏洞利用和概念验证集合(按最近更新排序)。出于性能考虑,结果限制在前15个仓库。
(页面未列出具体仓库链接)
相关新闻 以下是文章中提及CVE-2025-15505漏洞的新闻列表。出于性能考虑,结果限制在前20条新闻。
(页面未列出具体新闻条目)
漏洞历史记录 以下表格列出了对CVE-2025-15505漏洞随时间所做的更改。漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
- 2026年1月11日 - 收到 cna@vuldb.com 提交的新CVE记录。
- 操作:添加 | 类型:描述
- 新值:
在Luxul XWR-600(版本4.0.1及之前)中发现一个漏洞。受影响的部分是Web管理界面中某个未知功能。对“访客网络/无线配置SSID”参数的操作会导致跨站脚本。攻击可以远程发起。漏洞利用方式已被公开,并可能被利用。厂商在此披露前已被联系,但未提供技术声明。 - 操作:添加 | 类型:CVSS V4.0
- 新值:
AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X - 操作:添加 | 类型:CVSS V3.1
- 新值:
AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N - 操作:添加 | 类型:CVSS V2
- 新值:
(AV:N/AC:L/Au:M/C:N/I:P/A:N) - 操作:添加 | 类型:CWE
- 新值:
CWE-79 - 操作:添加 | 类型:CWE
- 新值:
CWE-94 - 操作:添加 | 类型:参考链接
- 新值:
https://docs.google.com/document/d/1S2f5lT0b-KE9m6xq8BY6eSixv6SgsGL1e8QQzeOkq5c/ - 操作:添加 | 类型:参考链接
- 新值:
https://vuldb.com/?ctiid.340435 - 操作:添加 | 类型:参考链接
- 新值:
https://vuldb.com/?id.340435 - 操作:添加 | 类型:参考链接
- 新值:
https://vuldb.com/?submit.727924
EPSS(漏洞利用预测评分系统) EPSS是对未来30天内观察到漏洞利用活动的概率的每日估计。下图显示了该漏洞的EPSS评分历史。 (页面包含图表区域,但无具体数据点)
漏洞评分详情
- CVSS 4.0
- 基础CVSS评分: 4.8
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击前置条件: 无
- 所需权限: 高
- 用户交互: 被动
- *… (其他CVSS指标)
- CVSS 3.1
- 基础CVSS评分: 2.4
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 高
- 用户交互: 需要
- 影响范围: 未改变
- 机密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
- CVSS 2.0
- 基础CVSS评分: 3.3
- 访问向量: 网络
- 访问复杂度: 低
- 身份验证: 多次
- 机密性影响: 无
- 完整性影响: 部分
- 可用性影响: 无