一、 漏洞 CVE-2025-12546 基础信息
漏洞信息
# LogicalDOC API密钥创建跨站脚本漏洞
## 概述
在 LogicalDOC Community Edition 9.2.1 及之前的版本中存在一个漏洞,影响了 API 密钥创建界面的某个未明确部分。该漏洞允许攻击者进行跨站脚本攻击(XSS)。
## 影响版本
LogicalDOC Community Edition 9.2.1 及更早版本。
## 细节
漏洞存在于 API 密钥创建的用户界面中,具体组件未明确。通过操纵该界面,攻击者可注入恶意脚本,实现跨站脚本攻击。
## 影响
攻击者可远程利用该漏洞进行跨站脚本攻击,可能窃取用户会话信息或执行恶意操作。漏洞已被公开披露,并存在被利用的可能性。
## 备注
厂商已被提前通知,但未做出任何回应。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
LogicalDOC Community Edition API Key creation UI cross site scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in LogicalDOC Community Edition up to 9.2.1. This affects an unknown part of the component API Key creation UI. This manipulation causes cross site scripting. Remote exploitation of the attack is possible. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-12546 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-12546 的情报信息
-
-
-
-
标题: CVE-2025-12546 LogicalDOC Community Edition API Key creation UI cross site scripting -- 🔗来源链接
标签: vdb-entry
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-12546
四、漏洞 CVE-2025-12546 的评论
暂无评论