一、 漏洞 CVE-2025-46657 基础信息
漏洞信息
# N/A
## 概述
Karaz Karazal 在 2025-04-14 之前存在通过默认 URI 的 `lang` 参数反射型 XSS 漏洞。
## 影响版本
- Karaz Karazal 所有版本至 2025-04-14 (含)
## 细节
攻击者可以通过操纵默认 URI 中的 `lang` 参数来注入恶意脚本。当用户访问被篡改的链接时,恶意脚本将被执行。
## 影响
- 允许攻击者通过反射型 XSS 在用户的浏览器上执行任意 JavaScript 代码。
- 可能导致信息泄露、会话劫持或其他恶意行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Karaz Karazal through 2025-04-14 allows reflected XSS via the lang parameter to the default URI.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Karaz Karazal 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Karaz Karazal是Karaz公司的一个创新的数字平台,提供智能化的业务解决方案和服务。 Karaz Karazal 2025-04-14及之前版本存在安全漏洞,该漏洞源于参数lang导致反射型跨站脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46657 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/nov-1337/CVE-2025-46657 | POC详情 |
三、漏洞 CVE-2025-46657 的情报信息
-
标题: CVE-2025-46657/CVE-2025-46657.md at main · nov-1337/CVE-2025-46657 · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-46657
四、漏洞 CVE-2025-46657 的评论
暂无评论