一、 漏洞 CVE-2025-34253 基础信息
漏洞信息
# D-Link Nuclias Connect 存储型XSS漏洞
## 概述
D-Link Nuclias Connect 固件版本 ≤ 1.3.1.4 存在一个存储型跨站脚本(XSS)漏洞。
## 影响版本
- D-Link Nuclias Connect 固件版本 1.3.1.4 及以下
## 细节
该漏洞是由于在编辑配置、创建配置文件和添加网络时,未对“Network”字段进行妥善的输入净化处理,导致攻击者可在配置中注入任意 JavaScript 代码。
## 影响
- 攻击者需已认证身份
- 可注入的 JavaScript 会在其他用户查看受影响的配置文件时在其浏览器上下文中执行
- 可能导致会话劫持、数据窃取或其他客户端攻击
## 厂商状态
- D-Link 表示已在开发修复补丁
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
D-Link Nuclias Connect <= v1.3.1.4 Stored Cross-Site Scripting (XSS)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
D-Link Nuclias Connect firmware versions <= 1.3.1.4 contain a stored cross-site scripting (XSS) vulnerability due to improper sanitization of the 'Network' field when editing the configuration, creating a profile, and adding a network. An authenticated attacker can inject arbitrary JavaScript to be executed in the context of other users viewing the profile entry. NOTE: D-Link states that a fix is under development.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link Nuclias Connect 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link Nuclias Connect是中国友讯(D-Link)公司的一套无线网络集中管理系统。 D-Link Nuclias Connect 1.3.1.4及之前版本存在安全漏洞,该漏洞源于清理和转义不足,可能导致存储型跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-34253 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-34253 的情报信息
-
标题: D-Link Nuclias Connect <= v1.3.1.4 Stored Cross-Site Scripting (XSS) | Advisories | VulnCheck -- 🔗来源链接
标签: third-party-advisory
神龙速读
-
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-34253
四、漏洞 CVE-2025-34253 的评论
暂无评论