一、 漏洞 CVE-2025-27380 基础信息
漏洞信息
# Altium Enterprise Server HTML注入漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
HTML Injection Leading to Script Execution in Altium Enterprise Server
来源:美国国家漏洞数据库 NVD
漏洞描述信息
HTML injection in Project Release in Altium Enterprise Server (AES) 7.0.3 on all platforms allows an authenticated attacker to execute arbitrary JavaScript in the victim’s browser via crafted HTML content.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-27380 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-27380 的情报信息
标题: Security Advisories | Altium -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 存储型跨站脚本(XSS) - **Altium Live用户配置文件字段** - Altium 365的用户配置文件文本字段中存在的存储型跨站脚本(XSS)漏洞。 - **Altium Live论坛** - Altium论坛由于缺少服务器端输入验证在论坛帖子内容中存在的存储型跨站脚本(XSS)漏洞。 - **Altium 365论坛** - Altium论坛由于缺少服务器端输入验证在论坛帖子内容中存在的存储型跨站脚本(XSS)漏洞。 - **Altium Enterprise Server工作流程引擎** - Altium工作流引擎在工作流表单提交API中由于缺少服务器端输入验证存在的存储型跨站脚本(XSS)漏洞。 - **Altium Live支持中心** - Altium支持中心AddComment端点由于缺少服务器端输入验证存在的存储型跨站脚本(XSS)漏洞。 #### 其它漏洞 - **自我签名证书验证缺失 - AD** - Altium 24.9.0不验证自我签名服务器证书,包括云连接。 - **BOM查看器中的XSS - AES** - AES7.0.3中的BOM查看器没有清理所有字段。 - **SQL注入 - AES** - 一个未激活的配置允许SQL注入通过不激活SQL解析逻辑的最新实现来发生。 - **HTML注入 - AES** - Altium Enterprise Server易受到HTML注入攻击,允许执行任意的JavaScript。
- https://nvd.nist.gov/vuln/detail/CVE-2025-27380
四、漏洞 CVE-2025-27380 的评论
暂无评论