一、 漏洞 CVE-2025-50738 基础信息
漏洞信息
# N/A
## 概述
Memos 应用程序在版本 v0.24.3 及之前允许嵌入使用任意 URL 的 Markdown 图像。攻击者可利用该功能在用户查看备忘录时,诱导其浏览器自动访问远程服务器。
## 影响版本
- 受影响版本:Memos ≤ v0.24.3
## 漏洞细节
用户查看包含 Markdown 图像的备忘录时,浏览器会在**未获得用户明确同意或交互**的情况下自动加载图像的 URL。攻击者可将图像 URL 指向由其控制的服务器。
## 影响
- 泄露用户的 IP 地址
- 泄露用户的浏览器 User-Agent 字符串
- 可能泄露其他与请求相关的信息
- 使攻击者能够对用户进行追踪,导致**信息泄露和隐私风险**
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-50738 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | An authenticated attacker can upload a specially crafted SVG file containing JavaScript code to Memos versions prior to 0.25.0, leading to a stored cross-site scripting (XSS) vulnerability. | https://github.com/projectdiscovery/nuclei-templates/blob/main/headless/cves/2025/CVE-2025-50738.yaml | POC详情 |
三、漏洞 CVE-2025-50738 的情报信息
-
标题: GitHub - usememos/memos: An open-source, lightweight note-taking solution. The pain-less way to create your meaningful notes. Your Notes, Your Way. -- 🔗来源链接
标签:
-
-
标题: Vulnerability-Research/CVE-2025-50738 at main · fai1424/Vulnerability-Research · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-50738
四、漏洞 CVE-2025-50738 的评论
暂无评论