一、 漏洞 CVE-2025-49542 基础信息
漏洞信息
# ColdFusion | 跨站脚本 (反射型 XSS) (CWE-79)
## 概述
ColdFusion 的某些版本存在反射型跨站脚本(XSS)漏洞。在特定条件下,攻击者可以通过诱使用户访问恶意 URL 来执行恶意 JavaScript 代码。
## 影响版本
- 2025.2
- 2023.14
- 2021.20 及更早版本
## 细节
- 攻击者需要诱使用户访问包含恶意脚本内容的 URL。
- 漏洞仅影响内部 IP 地址范围。
## 影响
- 攻击者可以执行恶意 JavaScript,该脚本将在用户浏览器中运行。
- 攻击会导致操作范围变化,可能影响用户会话或数据。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ColdFusion | Cross-site Scripting (Reflected XSS) (CWE-79)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ColdFusion versions 2025.2, 2023.14, 2021.20 and earlier are affected by a reflected Cross-Site Scripting (XSS) vulnerability. If an unauthenticated attacker is able to convince a victim to visit a URL referencing a vulnerable page, malicious JavaScript content may be executed within the context of the victim's browser, scope is changed. The vulnerable component is restricted to internal IP addresses.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
Adobe ColdFusion 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。 Adobe ColdFusion 2025.2及之前版本、2023.14及之前版本和2021.20及之前版本存在跨站脚本漏洞,该漏洞源于反射型跨站脚本,可能导致恶意脚本执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-49542 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
