CVE-2025-15220 - SohuTV CacheCloud LoginController.java init 跨站脚本漏洞
概述
该漏洞的CVSS 4.0评分为5.3(中危)。
漏洞描述
在 SohuTV CacheCloud 3.2.0 及之前版本中发现一个漏洞。此漏洞影响了文件 src/main/java/com/sohu/cache/web/controller/LoginController.java 中的 init 函数。攻击者的操纵会导致跨站脚本(XSS)攻击。攻击可以远程发起。漏洞利用方法现已公开,并可能已被使用。项目方已通过问题报告早期获知此问题,但尚未作出回应。
关键信息
- 发布日期: 2025年12月30日,上午5:16
- 最后修改日期: 2025年12月30日,上午5:16
- 是否可远程利用: 是!
- 来源: cna@vuldb.com
受影响产品
尽管 cvefeed.io 知晓受影响产品的确切版本,但以下信息未在表格中体现。 暂无受影响产品记录 总计受影响供应商: 0 | 产品: 0
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统漏洞严重程度的标准化框架。我们收集并展示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.0 | CVSS 2.0 | 中危 | AV:N/AC:L/Au:N/C:N/I:P/A:N | 10.0 | 2.9 | cna@vuldb.com |
| 4.3 | CVSS 3.1 | 中危 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | 2.8 | 1.4 | cna@vuldb.com |
| 5.3 | CVSS 4.0 | 中危 | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | - | - | cna@vuldb.com |
解决方案
处理 LoginController.java 中的跨站脚本问题以防止远程攻击。
- 审查并清理 LoginController.java 中的用户输入。
- 对所有动态内容实施输出编码。
- 将 CacheCloud 更新到安全版本。
- 咨询供应商公告获取补丁。
相关咨询、解决方案和工具参考链接
此处提供与 CVE-2025-15220 相关的深入信息、实用解决方案和有价值工具的外部链接精选列表。
| URL | 资源 |
|---|
| https://vuldb.com/?ctiid.338605 | | | https://vuldb.com/?id.338605 | | | https://vuldb.com/?submit.716320 | |
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-15220与以下CWE相关联:
- CWE-79: 网页生成期间输入的不当中和(‘跨站脚本’)
- CWE-94: 对代码生成的不当控制(‘代码注入’)
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储了攻击模式,这些模式描述了攻击者利用CVE-2025-15220弱点的常用属性和方法。
- CAPEC-63: 跨站脚本(XSS)
- CAPEC-85: AJAX 足迹探测
- CAPEC-209: 利用MIME类型不匹配的XSS
- CAPEC-588: 基于DOM的XSS
- CAPEC-591: 反射型XSS
- CAPEC-592: 存储型XSS
- CAPEC-35: 利用非可执行文件中的可执行代码
- CAPEC-77: 操作用户控制的变量
- CAPEC-242: 代码注入
我们扫描GitHub仓库以检测新的漏洞利用概念验证。以下列表是已在GitHub上发布的公共漏洞利用和概念验证的集合(按最近更新排序)。 由于潜在的性能问题,结果限制在前15个仓库。 以下列表是在文章中任何地方提及CVE-2025-15220漏洞的新闻。 由于潜在的性能问题,结果限制在前20篇新闻文章。
漏洞历史记录
以下表格列出了随时间对CVE-2025-15220漏洞所做的更改。 漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 动作 | 类型 | 旧值 | 新值 |
|---|
| 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | | 新增 | CVSS V3.1 | - | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | | 新增 | CVSS V2 | - | (AV:N/AC:L/Au:N/C:N/I:P/A:N) | | 新增 | CWE | - | CWE-79 | | 新增 | CWE | - | CWE-94 |
| 新增 | 参考链接 | - | https://vuldb.com/?ctiid.338605 | | 新增 | 参考链接 | - | https://vuldb.com/?id.338605 | | 新增 | 参考链接 | - | https://vuldb.com/?submit.716320 |
漏洞评分详情
CVSS 4.0
- 基础CVSS分数: 5.3
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击前提: 无
- 所需权限: 无
- 用户交互: 被动
- 脆弱系统保密性影响: 无
- 脆弱系统完整性影响: 低
- 脆弱系统可用性影响: 无
- 后续系统保密性影响: 无
- 后续系统完整性影响: 无
- 后续系统可用性影响: 无
CVSS 3.1
- 基础CVSS分数: 4.3
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 影响范围: 未更改
- 保密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
CVSS 2.0
- 基础CVSS分数: 5.0
- 访问向量: 网络
- 访问复杂度: 低
- 身份验证: 无
- 保密性影响: 无
- 完整性影响: 部分
- 可用性影响: 无