CVE-2025-11546 - NEC Corporation UNIVERGE IX跨站脚本(XSS)漏洞
概述
CVE-2025-11546是一个影响NEC Corporation UNIVERGE IX产品的跨站脚本漏洞,CVSS 4.0评分为9.3分,属于严重级别。
漏洞描述
CLUSTERPRO X for Linux 4.0、4.1、4.2、5.0、5.1和5.2版本,以及EXPRESSCLUSTER X for Linux 4.0、4.1、4.2、5.0、5.1和5.2版本,CLUSTERPRO X SingleServerSafe for Linux 4.0、4.1、4.2、5.0、5.1和5.2版本,EXPRESSCLUSTER X SingleServerSafe for Linux 4.0、4.1、4.2、5.0、5.1和5.2版本存在安全漏洞。攻击者向产品发送特制的网络数据包,可以在未经身份验证的情况下执行任意操作系统命令。
漏洞时间线
- 发布日期:2025年11月7日 02:15
- 最后修改:2025年11月7日 04:15
- 远程利用:是
- 信息来源:psirt-info@cyber.jp.nec.com
受影响产品
目前尚未记录具体的受影响产品信息。
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | - | - | - | f2760a35-e0d8-4637-ac4c-cc1a2de3e282 |
| 9.3 | CVSS 4.0 | 严重 | - | - | - | psirt-info@cyber.jp.nec.com |
解决方案
- 将NEC UNIVERGE IX产品更新到最新版本
- 应用NEC Corporation提供的安全补丁
- 确保不会发生未经身份验证的命令执行
- 监控网络流量中的恶意数据包
参考信息
安全公告链接:
CWE关联
CWE-78:操作系统命令中使用的特殊元素的不当中和(OS命令注入)
CAPEC攻击模式
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多个输入解释层
- CAPEC-88:OS命令注入
- CAPEC-108:通过SQL注入执行命令行
漏洞历史记录
2025年11月7日 - 由psirt-info@cyber.jp.nec.com修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 修改 | 描述 | NEC Corporation UNIVERGE IX从Ver.9.5到Ver.10.7等版本的跨站脚本漏洞描述 | CLUSTERPRO X for Linux 4.0等版本的漏洞描述 |
2025年11月7日 - 由psirt-info@cyber.jp.nec.com新增CVE
新增内容:
- 漏洞描述
- CVSS V4.0评分
- CWE-78关联
- 参考链接