一、 漏洞 CVE-2025-31510 基础信息
漏洞信息
# N/A
## 概述
LemonLDAP::NG 2.21.0 之前版本中,门户(portal)存在跨站脚本(XSS)漏洞,攻击者可通过认证方式为 Choice 时的 `tab` 参数向登录页面注入任意 Web 脚本或 HTML。
## 影响版本
LemonLDAP::NG 2.21.0 之前的所有版本。
## 细节
漏洞位于门户组件的 `tab` 参数处理逻辑中,当使用 Choice 认证方式时,该参数未对用户输入进行充分的过滤和转义,导致攻击者可注入恶意脚本。
## 影响
远程攻击者可利用该漏洞在受害者浏览器中执行任意脚本,窃取会话信息或进行钓鱼攻击等恶意操作。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In the portal in LemonLDAP::NG before 2.21.0, cross-site scripting (XSS) allows remote attackers to inject arbitrary web script or HTML (into the login page) via the tab parameter, for Choice authentication.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
LemonLDAP::NG 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
LemonLDAP::NG是LemonLDAP::NG开源的一套Web单点登录和访问管理软件。 LemonLDAP::NG存在安全漏洞,该漏洞源于Choice模块容易受到跨站脚本攻击,可能导致在网站环境中执行JavaScript代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-31510 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-31510 的情报信息
标题: Oh noes! -- 🔗来源链接
标签:
神龙速读:以下是从网页截图中获取到的关于漏洞的关键信息,使用简洁的Markdown格式表示: ``` ### 关键信息 - **错误代码**: 4d1dbaddfccOf385 - **保护软件**: Anubis - **保护软件版本**: 1.24.0 - **开发公司**: Techaro - **国家**: Canada (🇨🇦) ```
- https://nvd.nist.gov/vuln/detail/CVE-2025-31510
四、漏洞 CVE-2025-31510 的评论
暂无评论