VU#317469 - Partner Software/Partner Web未对报告文件和笔记内容进行清理,导致XSS和RCE漏洞
漏洞说明 VU#317469
首次发布日期:2025-08-02 | 最后修订日期:2025-08-04
概述
Partner Software公司生产的Partner Software和Partner Web产品未能对报告或笔记文件进行清理,导致存在XSS攻击漏洞。Partner Software是N. Harris Computer Corporation的子公司,是一家现场应用开发公司,其产品面向行业、市政机构、州政府和私人承包商使用。
授权用户在使用Partner Software或Partner Web应用程序查看作业时可以上传"报告"。文件上传功能未限制可上传的文件类型及其扩展名,使得拥有有效凭证的攻击者能够执行XSS攻击并在设备上执行恶意代码。Partner Web产品在所有版本中都使用相同的默认管理员用户名和密码。能够访问Partner Web应用程序的攻击者可能滥用这些漏洞在托管设备上执行任意代码。
描述
Partner Software的Partner Software和Partner Web产品被各市政机构、州政府和私人承包商用于现场应用工作。这些产品支持各种GIS相关用途、地图查看器和其他支持工具。Partner Software和Partner Web产品包含多个用于上传内容供现场工作人员分析的字段。能够访问Partner Web应用程序的认证用户可能通过这些漏洞执行RCE。
CVE-2025-6076
Partner Software相应的Partner Web应用程序未对"报告"选项卡中上传的文件进行清理,允许经过认证的攻击者上传恶意文件并将其存储在受害服务器上。
CVE-2025-6077
Partner Software相应的Partner Web应用程序对所有管理员账户使用相同的默认用户名和密码。
CVE-2025-6078
Partner Software/Partner Web允许认证用户在作业视图内的"笔记"页面添加文本,但未完全清理输入内容,使得可以添加包含HTML标签和JavaScript的笔记,从而使攻击者能够添加包含恶意JavaScript的笔记,导致存储型XSS(跨站脚本)漏洞。
影响
攻击者利用这些漏洞可以获得设备的管理员访问权限或执行XSS攻击,从而危害设备安全。
解决方案
Partner Software已在4.32.2版本中为受影响产品提供了补丁。4.32.2补丁中现已移除管理员和编辑用户,笔记部分现在限制并清理输入内容,仅允许简单文本。此外,允许的文件附件仅包括.csv、.jpg、.png、.txt、.doc和.pdf文件,且不再读取这些文件,仅显示它们。受影响的Partner Web版本为4.32及更早版本。补丁信息可在此处获取:https://partnersoftware.com/resources/software-release-info-4-32/
致谢
感谢报告者Ryan Pohlner(网络安全和基础设施安全局)的报告,以及Partner Software的协调工作。本文档由Christopher Cullen编写。
供应商信息
N. Harris Computer Corporation
状态:未知 通知日期:2025-05-07 更新日期:2025-08-02
CVE-2025-6076 未知 CVE-2025-6077 未知 CVE-2025-6078 未知
供应商声明:我们尚未收到供应商的声明。
Partner Software
状态:未知 通知日期:2025-05-01 更新日期:2025-08-02
CVE-2025-6076 未知 CVE-2025-6077 未知 CVE-2025-6078 未知
供应商声明:我们尚未收到供应商的声明。
参考链接
- https://partnersoftware.com/partner-services/
- https://partnersoftware.com/resources/software-release-info-4-32/
其他信息
CVE ID:
- CVE-2025-6076
- CVE-2025-6077
- CVE-2025-6078
公开日期:2025-08-02 首次发布日期:2025-08-02 最后更新日期:2025-08-04 15:38 UTC 文档版本:2