概述
CVE-2025-15219 SohuTV CacheCloud MachineManageController.java doPodList 跨站脚本漏洞
CVSS 4.0 评分:5.1(中危)
漏洞描述
在 SohuTV CacheCloud 3.2.0 及之前版本中发现一个安全漏洞。此问题影响文件 src/main/java/com/sohu/cache/web/controller/MachineManageController.java 中的 doMachineList/doPodList 函数。其操纵会导致跨站脚本攻击(XSS)。攻击可以远程发起。漏洞利用细节已被公开披露并可能被使用。项目方很早就通过问题报告获悉了该问题,但尚未作出回应。
时间线
- 发布日期: 2025年12月30日 上午4:15
- 最后修改日期: 2025年12月30日 上午4:15
- 可远程利用: 是
- 来源: cna@vuldb.com
受影响产品
目前尚未记录受影响的具体产品信息。
CVSS 评分
| 评分 | 版本 | 严重性 | 来源 |
|---|---|---|---|
| 4.0 | CVSS 2.0 | 中危 | cna@vuldb.com |
| 3.5 | CVSS 3.1 | 低危 | cna@vuldb.com |
| 5.1 | CVSS 4.0 | 中危 | cna@vuldb.com |
解决方案
- 对受影响文件中的用户输入进行净化,以防止跨站脚本漏洞。
- 将 SohuTV CacheCloud 更新到 3.2.0 之后的版本。
- 为
doMachineList/doPodList函数实施输入净化。 - 对用户提供的数据应用输出编码。
相关参考链接
| URL | 资源说明 |
|---|
| https://vuldb.com/?ctiid.338604 | VulDB CTI 记录 | | https://vuldb.com/?id.338604 | VulDB ID 记录 | | https://vuldb.com/?submit.716318 | VulDB 提交记录 | | https://vuldb.com/?submit.716319 | VulDB 提交记录 |
CWE(常见缺陷枚举)
- CWE-79: 网页生成期间输入净化不当(‘跨站脚本’)
- CWE-94: 代码生成控制不当(‘代码注入’)
CAPEC(常见攻击模式枚举与分类)
- CAPEC-63:跨站脚本
- CAPEC-85:AJAX 足迹探测
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
- CAPEC-35:在不可执行文件中利用可执行代码
- CAPEC-77:操作用户控制的变量
- CAPEC-242:代码注入
漏洞历史记录
- 2025年12月30日: 收到由 cna@vuldb.com 提交的新CVE报告。同时添加了漏洞描述、CVSS v4.0/v3.1/v2评分向量、CWE-79和CWE-94分类,以及所有相关的参考链接。
EPSS(漏洞利用预测评分系统)
EPSS(利用预测评分系统)是对未来30天内观察到利用活动的概率的每日估计。图表显示了该漏洞的EPSS评分历史。
漏洞评分详情
CVSS 4.0
- 基础评分: 5.1
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击前提: 无
- 所需权限: 低
- 用户交互: 被动
- 影响: 保密性(无)、完整性(低)、可用性(无)
CVSS 3.1
- 基础评分: 3.5
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 需要
- 影响: 保密性(无)、完整性(低)、可用性(无)
CVSS 2.0
- 基础评分: 4.0
- 访问向量: 网络
- 访问复杂度: 低
- 认证: 单次
- 影响: 保密性(无)、完整性(部分)、可用性(无)