CVE-2025-41070 - Sanoma’s Clickedu 中的反射型跨站脚本漏洞
CVE ID, 产品, 供应商 …
概述
漏洞时间线
描述
Sanoma’s Clickedu 中存在反射型跨站脚本漏洞。该漏洞允许攻击者通过向受害者发送恶意 URL (/students/carpetes_varies.php) 在其浏览器中执行 JavaScript 代码。此漏洞可被利用来窃取敏感用户数据(例如会话 Cookie),或代表用户执行操作。
信息
发布日期:2025年12月1日,上午11:15 最后修改日期:2025年12月1日,上午11:15 可远程利用:是! 来源:cve-coordination@incibe.es
受影响产品
以下产品受到 CVE-2025-41070 漏洞的影响。 尽管 cvefeed.io 知晓受影响产品的确切版本,但下表中未体现该信息。
- 暂无受影响产品记录
受影响供应商总数:0 | 产品:0
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个 CVE 来自不同来源的 CVSS 评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 4.8 | CVSS 4.0 | 中等 | 0cbda920-cd7f-484a-8e76-bf7f4b7f4516 | |||
| 4.8 | CVSS 4.0 | 中等 | cve-coordination@incibe.es |
解决方案
通过清理输入和更新受影响的脚本来修复反射型 XSS 漏洞。
- 清理所有用户提供的输入。
- 更新
/students/carpetes_varies.php。 - 在渲染前验证输出。
- 避免在 URL 中使用未清理的数据。
参考(公告、解决方案和工具)
此处,您将找到与 CVE-2025-41070 相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用弱点枚举
虽然 CVE 标识特定的漏洞实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-41070 与以下 CWE 关联:
- CWE-79: 在网页生成过程中对输入的不当中和(‘跨站脚本’)
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类存储攻击模式,这些模式描述了对手利用 CVE-2025-41070 弱点所采用的常见属性和方法。
- CAPEC-63: 跨站脚本 (XSS)
- CAPEC-85: AJAX 足迹探测
- CAPEC-209: 利用 MIME 类型不匹配的 XSS
- CAPEC-588: 基于 DOM 的 XSS
- CAPEC-591: 反射型 XSS
- CAPEC-592: 存储型 XSS
漏洞评分详情
CVSS 4.0
- 基础 CVSS 评分:4.8
攻击向量、攻击复杂度、攻击前提、所需权限、用户交互、VS 保密性、VS 完整性、VS 可用性、SS 保密性、SS 完整性、SS 可用性
- 攻击向量:网络、相邻网络、本地、物理
- 攻击复杂度:低、高
- 攻击前提:无、有
- 所需权限:无、低、高
- 用户交互:无、被动、主动
- VS 保密性:高、低、无
- VS 完整性:高、低、无
- VS 可用性:高、低、无
- SS 保密性:高、低、无
- SS 完整性:高、低、无
- SS 可用性:高、低、无