概述
CVE-2025-62210是Dynamics 365 Field Service(在线版)中的一个欺骗漏洞,由于在网页生成过程中输入验证不当导致。
漏洞描述
在Dynamics 365 Field Service(在线版)中,网页生成期间的输入验证不当(跨站脚本)允许授权攻击者通过网络执行欺骗攻击。
基本信息
- 发布日期:2025年11月11日 18:15
- 最后修改:2025年11月11日 18:15
- 远程利用:否
- 信息来源:secure@microsoft.com
受影响产品
以下产品受到CVE-2025-62210漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Microsoft | dynamics_365 |
总计受影响厂商:1 | 产品:1
CVSS评分
通用漏洞评分系统是评估软件和系统漏洞严重程度的标准化框架。
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 3.1 | 高危 | 2.3 | 5.8 | secure@microsoft.com |
参考信息
以下是与CVE-2025-62210相关的深度信息、实用解决方案和有价值工具的外部链接:
CWE - 通用弱点枚举
CVE-2025-62210与以下CWE相关:
CWE-79:在网页生成期间输入验证不当(跨站脚本)
常见攻击模式枚举和分类(CAPEC)
以下是与CVE-2025-62210弱点相关的常见攻击模式:
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Dynamics 365 Field Service(在线版)中,网页生成期间的输入验证不当(跨站脚本)允许授权攻击者通过网络执行欺骗攻击 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | |
| 添加 | CWE | CWE-79 | |
| 添加 | 参考 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62210 |
相关新闻
BleepingComputer
Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws
今天是微软2025年11月补丁星期二,包括63个漏洞的安全更新,其中一个是已被积极利用的零日漏洞。此补丁星期二还解决了四个"严重"漏洞…
发布日期:2025年11月11日(15小时30分钟前)
Zero Day Initiative
The November 2025 Security Update Review
我已经完成了Pwn2Own爱尔兰站,虽然许多人都在庆祝那些在武装部队中为国家服务的人,但补丁星期二不会为任何人停止…
发布日期:2025年11月11日(15小时45分钟前)
CybersecurityNews
Microsoft November 2025 Patch Tuesday – 63 Vulnerabilities, Including 1 Zero-Day Fixed
微软今天推出了2025年11月补丁星期二安全更新,解决了其产品和服务生态系统中的63个漏洞。其中,一个零日漏洞已被利用…
发布日期:2025年11月11日(16小时1分钟前)