一、 漏洞 CVE-2025-28074 基础信息
漏洞信息
# N/A
## 漏洞概述
phpList在3.6.3之前的版本中存在跨站脚本攻击(XSS)漏洞。该漏洞是由于在lt.php文件中对输入数据过滤不当造成的。
## 影响版本
phpList 3.6.3之前的版本
## 漏洞细节
当应用动态引用内部路径并处理未经转义的不可信输入时,攻击者可以注入恶意JavaScript。
## 影响
此漏洞允许攻击者通过注入恶意脚本来执行跨站脚本攻击,从而可能导致用户敏感信息泄露或其他恶意行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
phpList before 3.6.15 is vulnerable to Cross-Site Scripting (XSS) due to improper input sanitization in lt.php. The vulnerability is exploitable when the application dynamically references internal paths and processes untrusted input without escaping, allowing an attacker to inject malicious JavaScript.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
phpList 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
phpList是phpList开源的一个功能齐全的开源电子邮件营销经理,用于创建、发送、集成和分析电子邮件活动和通讯。 phpList 3.6.3之前版本存在安全漏洞,该漏洞源于输入清理不当,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-28074 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/mLniumm/CVE-2025-28074 | POC详情 |
三、漏洞 CVE-2025-28074 的情报信息
-
-
-
标题: Comparing v3.6.14...v3.6.15 · phpList/phplist3 · GitHub -- 🔗来源链接
标签:
-
标题: phpList 3.6.15 released: includes security enhancements | Open Source newsletter software | phpList.org -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-28074
四、漏洞 CVE-2025-28074 的评论
暂无评论