概述
CVE-2025-11546 - NEC Corporation UNIVERGE IX跨站脚本(XSS)漏洞
漏洞描述
NEC Corporation UNIVERGE IX从版本9.5到10.7、从版本10.8.21到10.8.36、从版本10.9.11到10.9.24、从版本10.10.21到10.10.31、版本10.11.6以及UNIVERGE IX-R/IX-V版本1.3.16、1.3.21存在跨站脚本漏洞。攻击者向产品发送特制的网络数据包,可以在未经认证的情况下执行任意操作系统命令。
漏洞信息
发布日期: 2025年11月7日 凌晨2:15
最后修改: 2025年11月7日 凌晨2:15
远程利用: 是
信息来源: psirt-info@cyber.jp.nec.com
受影响产品
以下产品受到CVE-2025-11546漏洞影响。即使cvefeed.io知晓受影响的确切产品版本,下表中也未显示该信息。
暂无受影响产品记录
总计受影响供应商:0 | 产品:0
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自各种来源的CVSS分数。
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | - | - | - | f2760a35-e0d8-4637-ac4c-cc1a2de3e282 |
| 9.3 | CVSS 4.0 | 严重 | - | - | - | psirt-info@cyber.jp.nec.com |
解决方案
更新NEC UNIVERGE IX产品至最新版本以解决跨站脚本漏洞。
- 将NEC UNIVERGE IX更新至最新版本
- 应用NEC Corporation提供的安全补丁
- 确保不会发生未经认证的命令执行
- 监控网络流量中的恶意数据包
参考信息
以下是有关CVE-2025-11546的深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用弱点枚举
CVE标识特定的漏洞实例,而CWE则分类可能导致漏洞的常见缺陷或弱点。CVE-2025-11546与以下CWE相关联:
CWE-78: 操作系统命令中使用的特殊元素的不当中和(操作系统命令注入)
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类存储攻击模式,这些模式描述了对手利用CVE-2025-11546弱点所采用的常见属性和方法。
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多个输入解释层
- CAPEC-88:操作系统命令注入
- CAPEC-108:通过SQL注入执行命令行
漏洞历史记录
以下表格列出了CVE-2025-11546漏洞随时间所做的更改。漏洞历史记录详细信息可用于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收
来源:psirt-info@cyber.jp.nec.com
日期:2025年11月7日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | 跨站脚本漏洞… |
| 添加 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 添加 | CWE | - | CWE-78 |
| 添加 | 参考 | - | https://jpn.nec.com/security-info/secinfo/nv25-006_en.html |
漏洞评分详情
CVSS 4.0
基础CVSS分数:9.3
| 攻击向量 | 攻击复杂性 | 攻击要求 | 所需权限 | 用户交互 | VS机密性 | VS完整性 | VS可用性 | SS机密性 | SS完整性 | SS可用性 |
|---|---|---|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 无 | 高 | 高 | 高 | 无 | 无 | 无 |