一、 漏洞 CVE-2025-43926 基础信息
漏洞信息
# N/A
## 概述
在 Znuny 的特定版本中发现了一个问题,通过自定义 AJAX 调用可以设置带有任意键的用户偏好,这可能导致权限或设置受到影响。
## 影响版本
- Znuny 6.5.14 及以下版本
- Znuny 7.x 通过 7.1.6 版本
## 细节
自定义 AJAX 调用到 `AgentPreferences UpdateAJAX` 子操作可以用来设置具有任意键的用户偏好。在通过 `GetUserData` 获取用户数据时,这些键值对会被整体传给其他函数调用,这些函数可能会使用这些键值对来影响权限或设置。
## 影响
该漏洞可能允许攻击者通过设置任意键值对来影响权限或配置设置,从而导致潜在的安全风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Znuny through 6.5.14 and 7.x through 7.1.6. Custom AJAX calls to the AgentPreferences UpdateAJAX subaction can be used to set user preferences with arbitrary keys. When fetching user data via GetUserData, these keys and values are retrieved and given as a whole to other function calls, which then might use these keys/values to affect permissions or other settings.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Znuny 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Znuny是Znuny公司的一个工单系统。 Znuny 6.5.14及之前版本和7.1.6版本之前的7.x版本存在安全漏洞,该漏洞源于输入验证不足,可能导致权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-43926 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
