一、 漏洞 CVE-2025-11966 基础信息
漏洞信息
                                        # N/A

## 概述

在 Eclipse Vert.x 的多个版本中,启用“目录列表”功能时,存在一个安全漏洞。该漏洞允许攻击者通过构造恶意文件名,实现存储型跨站脚本攻击(XSS)。

## 影响版本

- **4.0.0 到 4.5.21**
- **5.0.0 到 5.0.4**

## 漏洞细节

当“目录列表”功能启用时,Eclipse Vert.x 会生成 HTML 页面用于展示文件和目录结构。在受影响版本中,文件和目录名称未在生成 HTML 时正确转义,导致可被嵌入恶意脚本或 HTML 内容。

这些未转义的字段包括但不限于:

- `href` 属性(链接地址)
- `title` 属性(鼠标提示)
- 超链接文本内容

攻击者若能在目标服务器的 Web 服务路径中创建或重命名文件/目录,即可构造带有恶意脚本的文件名。

## 漏洞影响

- **攻击类型**:存储型 XSS(Stored XSS)
- **攻击条件**:攻击者需具备在 Web 服务目录中创建或重命名文件的能力
- **影响范围**:任何访问受影响目录列表的用户
- **攻击后果**:恶意脚本在用户浏览器中执行,可能导致会话劫持、数据泄露等安全事件
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Eclipse Vert.x versions [4.0.0, 4.5.21] and [5.0.0, 5.0.4], when "directory listing" is enabled, file and directory names are inserted into generated HTML without proper escaping in the href, title, and link attributes. An attacker who can create or rename files or directories within a served path can craft filenames containing malicious script or HTML content, leading to stored cross-site scripting (XSS) that executes in the context of users viewing the affected directory listing.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Eclipse Vert.x 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Eclipse Vert.x是Eclipse基金会的一个应用于 JVM 上用于构建响应式应用程序的工具包。 Eclipse Vert.x 4.0.0版本至4.5.21版本和5.0.0版本至5.0.4版本存在安全漏洞,该漏洞源于目录列表功能未对文件和目录名称进行适当转义,可能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11966 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-11966 的情报信息
四、漏洞 CVE-2025-11966 的评论

暂无评论

发表评论