Stored XSS vulnerability in MDaemon Email Server 漏洞信息(CVE-2025-3929)

一、漏洞 CVE-2025-3929 基础信息

漏洞信息

                                        # MDaemon电子邮件服务器中的存储型XSS漏洞

## 概述
MDaemon Email Server 版本 25.0.1 及以下版本中发现了一个 XSS（跨站脚本）问题。攻击者可以通过发送包含 JavaScript 的特制 HTML 邮件，在 webmail 用户的浏览器窗口中执行任意 JavaScript 代码，从而访问用户数据。

## 影响版本
- MDaemon Email Server 25.0.1 及以下版本

## 细节
攻击者可以发送一个特制的 HTML 邮件，其中包含嵌入在 img 标签中的 JavaScript 代码。当易受攻击的用户打开此类邮件时，浏览器将执行这些脚本。

## 影响
该漏洞可能导致攻击者在 webmail 用户的浏览器上下文中执行任意 JavaScript 代码，从而访问用户数据。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Stored XSS vulnerability in MDaemon Email Server

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An XSS issue was discovered in MDaemon Email Server version 25.0.1 and below. An attacker can send a specially crafted HTML e-mail message with JavaScript in an img tag. This could allow a remote attacker to load arbitrary JavaScript code in the context of a webmail user's browser window, and access user data.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

在Web页面生成时对输入的转义处理不恰当(跨站脚本)

来源：美国国家漏洞数据库 NVD

漏洞标题

MDaemon Email Server 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

MDaemon Email Server是MDaemon公司的一款电子邮件服务器。 MDaemon Email Server 25.0.1及之前版本存在安全漏洞，该漏洞源于特制HTML邮件中的JavaScript代码，可能导致跨站脚本攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-3929 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-3929 的情报信息

标题： Critical Updates – MDaemon Technologies, Ltd. -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-3929

一、 漏洞 CVE-2025-3929 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-3929 的公开POC

三、漏洞 CVE-2025-3929 的情报信息

一、漏洞 CVE-2025-3929 基础信息