一、 漏洞 CVE-2025-34141 基础信息
漏洞信息
                                        # ETQ Reliance CG 跨站脚本漏洞

```markdown
## 概述
ETQ Reliance CG(遗留)平台中的 `SQLConverterServlet` 组件存在反射型跨站脚本(XSS)漏洞。

## 影响版本
该漏洞影响 SE.2025.1 之前的版本。

## 漏洞细节
`SQLConverterServlet` 被错误地暴露给已认证用户,攻击者可通过诱使用户点击构造的恶意链接,触发反射型 XSS 漏洞。

## 漏洞影响
此漏洞可能导致攻击者在受害用户的上下文中执行未经授权的脚本,进而引发会话劫持、信息泄露或执行恶意操作。
```
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ETQ Reliance CG Reflected Cross-Site Scripting in `SQLConverterServlet`
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A reflected cross-site scripting (XSS) vulnerability exists in ETQ Reliance CG (legacy) platform within the `SQLConverterServlet` component. This vulnerability requires user interaction, such as clicking a crafted link, and may result in execution of unauthorized scripts in the user's context. The affected servlet was unnecessarily exposed to authenticated users and has since been disabled in version SE.2025.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
ETQ Reliance CG 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ETQ Reliance CG是美国ETQ公司的一款质量管理系统。 ETQ Reliance CG存在安全漏洞,该漏洞源于SQLConverterServlet组件容易受到反射型跨站脚本攻击,可能导致在用户环境中执行未授权脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34141 的公开POC
# POC 描述 源链接 神龙链接
1 A reflected cross-site scripting (XSS) vulnerability exists in ETQ Reliance CG (legacy) platform within the SQLConverterServlet component. This vulnerability requires user interaction, such as clicking a crafted link, and may result in execution of unauthorized scripts in the user's context. The affected servlet was unnecessarily exposed to authenticated users and has since been disabled in version SE.2025.1. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-34141.yaml POC详情
三、漏洞 CVE-2025-34141 的情报信息
四、漏洞 CVE-2025-34141 的评论

暂无评论

发表评论