一、 漏洞 CVE-2025-2609 基础信息
漏洞信息
# MagnusBilling 登录日志中的存储型跨站脚本漏洞
## 漏洞概述
MagnusSolution MagnusBilling 登录日志记录存在输入处理不当漏洞,允许未认证用户在日志组件中存储HTML内容,导致跨站脚本(XSS)攻击。此漏洞影响MagnusBilling受保护组件`protected/components/MagnusLog.php`。
## 影响版本
MagnusBilling 7.3.0及以下版本
## 漏洞细节
- **漏洞类型**:输入处理不当导致的跨站脚本(XSS)漏洞
- **影响组件**:`protected/components/MagnusLog.php`
- **攻击方式**:未认证用户可以通过向`/mbilling/index.php/logUsers/read`组件存储恶意HTML内容,从而导致XSS攻击
## 影响
- 未认证用户可以注入恶意HTML内容并通过日志组件呈现给其他用户,可能导致跨站脚本攻击。
- 受影响的用户数据和安全可能会受到威胁。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-2609 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Improper neutralization of input during web page generation vulnerability in MagnusSolution MagnusBilling login logging allows unauthenticated users to store HTML content in the viewable log component accessible at /mbilling/index.php/logUsers/read" cross-site scripting This vulnerability is associated with program files protected/components/MagnusLog.Php.This issue affects MagnusBilling- through 7.3.0. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-2609.yaml | POC详情 |
三、漏洞 CVE-2025-2609 的情报信息
-
标题: Two Stored XSS in MagnusBilling: From CTF Curiosity to CVEs | Chocapikk's Cybersecurity Blog 🛡️💻 -- 🔗来源链接
标签:
-
标题: CHtml::encode · magnussolution/magnusbilling7@f0f083c · GitHub -- 🔗来源链接
标签:
-
标题: MagnusBilling Stored Cross-Site Scripting in Login Logs | Advisories | VulnCheck -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-2609