JVN#90757550:desknet’s NEO 多重漏洞
发布时间: 2025/10/16
最后更新: 2025/10/16
概述
NEOJAPAN公司提供的desknet’s NEO存在多个安全漏洞。
受影响产品
-
CVE-2025-24833
desknet’s NEO V4.0R1.0 至 V9.0R2.0 -
CVE-2025-52583
desknet’s Web Server -
CVE-2025-54760, CVE-2025-54859
desknet’s NEO V9.0R2.0 及更早版本 -
CVE-2025-55072
desknet’s NEO V2.0R1.0 至 V9.0R2.0 -
CVE-2025-58079, CVE-2025-58426
desknet’s NEO V4.0R1.0 至 V9.0R2.0
漏洞描述
NEOJAPAN公司提供的desknet’s NEO存在以下多个漏洞:
存储型跨站脚本(CWE-79)
- CVSS:4.0 基础评分 4.8
- CVSS:3.0 基础评分 5.4
- 涉及:CVE-2025-24833, CVE-2025-54760, CVE-2025-55072
反射型跨站脚本(CWE-79)
- CVSS:4.0 基础评分 5.1
- CVSS:3.0 基础评分 6.1
- 涉及:CVE-2025-52583
存储型跨站脚本(CWE-79)
- CVSS:4.0 基础评分 4.6
- CVSS:3.0 基础评分 4.8
- 涉及:CVE-2025-54859
AppSuite中备用路径保护不当(CWE-424)
- CVSS:4.0 基础评分 5.3
- CVSS:3.0 基础评分 4.3
- 涉及:CVE-2025-58079
使用硬编码加密密钥(CWE-321)
- CVSS:4.0 基础评分 5.3
- CVSS:3.0 基础评分 4.3
- 涉及:CVE-2025-58426
影响
- 可能在产品用户的Web浏览器中执行任意JavaScript代码(CVE-2025-24833, CVE-2025-52583, CVE-2025-54760, CVE-2025-54859, CVE-2025-55072)
- 远程认证攻击者可能创建恶意的AppSuite应用程序(CVE-2025-58079, CVE-2025-58426)
解决方案
针对CVE-2025-24833, CVE-2025-54760, CVE-2025-54859, CVE-2025-55072, CVE-2025-58079, CVE-2025-58426:
- 更新软件:根据开发商提供的信息将软件更新至最新版本
针对CVE-2025-52583:
- 停止使用desknet’s Web Server并切换至IIS:开发商建议用户停止使用desknet’s Web Server,转而使用Internet Information Services(IIS)。更多详情请参考开发商提供的信息。
供应商状态
| 供应商 | 状态 | 最后更新 | 供应商说明 |
|---|---|---|---|
| NEOJAPAN Inc. | 存在漏洞 | 2025/10/16 | NEOJAPAN公司网站 |
致谢
以下人员向IPA报告了这些漏洞,JPCERT/CC在信息安全早期预警合作框架下与开发商进行了协调:
-
CVE-2025-24833
报告者:GMO Cybersecurity by Ierae, Inc. 的 Sho Odagiri -
CVE-2025-52583, CVE-2025-54760
报告者:Ryo Sato -
CVE-2025-54859
报告者:Ryo Sato 和 Daijiro Obata -
CVE-2025-55072, CVE-2025-58079, CVE-2025-58426
报告者:GMO Cybersecurity by Ierae, Inc. 的 Kentaro Ishii
其他信息
CVE编号:
- CVE-2025-24833
- CVE-2025-52583
- CVE-2025-54760
- CVE-2025-54859
- CVE-2025-55072
- CVE-2025-58079
- CVE-2025-58426
JVN iPedia:
JVNDB-2025-000074