JVN#13030751:ChatLuck多个安全漏洞
发布时间:2025年10月16日
最后更新:2025年10月16日
概述
NEOJAPAN公司提供的ChatLuck产品存在多个安全漏洞。
受影响产品
CVE-2025-53858、CVE-2025-54461
ChatLuck V6.6 R2.0及更早版本
CVE-2025-58115
ChatLuck V3.6 R1.0至V6.6 R1.0
漏洞描述
NEOJAPAN公司提供的ChatLuck产品存在以下多个漏洞:
聊天室跨站脚本漏洞(CWE-79)
CVSS:4.0 基础评分4.8
CVSS:3.0 基础评分5.4
CVE-2025-53858
访客用户邀请中的访问控制粒度不足漏洞(CWE-1220)
CVSS:4.0 基础评分6.9
CVSS:3.0 基础评分5.3
CVE-2025-54461
访客用户注册中的跨站脚本漏洞(CWE-79)
CVSS:4.0 基础评分5.3
CVSS:3.0 基础评分6.1
CVE-2025-58115
影响
- 访问该产品的用户浏览器可能执行任意脚本(CVE-2025-53858、CVE-2025-58115)
- 未受邀请的访客用户可能自行注册为访客用户(CVE-2025-54461)
解决方案
更新软件
根据开发商提供的信息,将软件更新至最新版本。开发商已发布包含这些漏洞修复的以下更新:
CVE-2025-53858、CVE-2025-54461
ChatLuck V6.7 R1.0
CVE-2025-58115
ChatLuck V6.6 R2.0
更多详细信息,请参考开发商提供的信息。
厂商状态
| 厂商 | 状态 | 最后更新 | 厂商说明 |
|---|---|---|---|
| NEOJAPAN Inc. | 存在漏洞 | 2025/10/16 | NEOJAPAN公司网站 |
致谢
- GMO Cybersecurity by Ierae, Inc.的石井健太郎向IPA报告了这些漏洞
- JPCERT/CC在信息安全早期预警合作伙伴关系下与开发商进行了协调