一、 漏洞 CVE-2025-5182 基础信息
漏洞信息
# 夏季珍珠集团度假租赁管理平台列表授权问题
## 漏洞概述
在Summer Pearl Group Vacation Rental Management Platform版本1.0.1及其以下版本中发现了一个被分类为关键级别的漏洞。该漏洞会导致授权绕过,并可以通过远程发起攻击。
## 影响版本
- Summer Pearl Group Vacation Rental Management Platform 1.0.1及以下版本
## 细节
此漏洞影响Listing Handler组件中的未知代码,可导致授权绕过。攻击者可以通过远程方式发起攻击。
## 影响
推荐将受影响的组件升级到1.0.2版本以解决此问题。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞在于Summer Pearl Group Vacation Rental Management Platform的Listing Handler组件中,由于未知代码的问题,攻击者可以远程利用此漏洞进行授权绕过,这显然是一个服务端的漏洞。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Summer Pearl Group Vacation Rental Management Platform Listing authorization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability has been found in Summer Pearl Group Vacation Rental Management Platform up to 1.0.1 and classified as critical. This vulnerability affects unknown code of the component Listing Handler. The manipulation leads to authorization bypass. The attack can be initiated remotely. Upgrading to version 1.0.2 is able to address this issue. It is recommended to upgrade the affected component.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Summer Pearl Vacation Rental Management Platform 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Summer Pearl Vacation Rental Management Platform是Summer Pearl公司的一个度假租赁管理平台。 Summer Pearl Vacation Rental Management Platform 1.0.1及之前版本存在安全漏洞,该漏洞源于存在授权绕过问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-5182 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Official Walkthrough for lab React2Shell: CVE-2025-5182 | https://github.com/vulnvault/react2shell | POC详情 |
三、漏洞 CVE-2025-5182 的情报信息
标题: GitHub - Stolichnayer/Summer-Pearl-Group-IDOR-XSS: Summer Pearl Group's Vacation Rental Management Platform versions ≤ 1.0.1 contain an IDOR and a Stored XSS vulnerability in the listing functionality. -- 🔗来源链接
标签:related
神龙速读:### 关键信息 #### 漏洞描述 - **类型**: 链式IDOR和存储型XSS漏洞 - **受影响平台**: Summer Pearl Group的Vacation Rental Management Platform - **版本**: ≤ v1.0.1 #### 影响 - **IDOR**: 认证攻击者可以操纵请求参数在任意用户账户下创建/修改列表。 - **XSS**: 通过精心制作的列表名称,结合不充分的输入验证,允许存储型跨站脚本攻击。 #### 受影响版本 | 状态 | 版本 | |------|------| | 漏洞 | ≤ v1.0.1 | | 已修复 | v1.0.2 | #### 免责声明 - 仅用于教育和道德研究目的。 #### 复现步骤 1. **认证为攻击者** - 使用POST请求登录。 2. **拦截列表请求** - 使用Burp Suite或DevTools捕获更新列表的POST请求。 3. **利用IDOR** - 设置`sgplOwner`为受害者的ID。 4. **注入XSS** - 使用恶意的`sgplTitle`payload。 5. **触发漏洞** - 当受害者访问日历视图时,注入的XSS payload会在其浏览器中自动执行。 #### 注意事项 - 测试时先使用非破坏性payload。 - 将`VICTIM_ID`替换为实际目标用户ID。 #### 发现者 - Alex Perrakis (Stolichnayer)
标题: Releases | Summer Pearl Group -- 🔗来源链接
标签:patch
神龙速读:### 关键漏洞信息 #### 安全更新 - **修复了注入对象引用(IDOR)漏洞**:该漏洞允许低权限用户创建或修改属于其他用户的预订。 - **修复了存储型跨站脚本(XSS)漏洞**:该漏洞允许通过查询参数在客户视图中执行恶意脚本。 - **修复了本地文件包含漏洞**:该漏洞允许攻击者操纵路径,潜在地启用对服务器文件的访问。 - **修复了慢速拒绝服务漏洞**:该漏洞允许攻击者通过保持连接来耗尽资源,导致服务中断。 - **修复了信息泄露问题**:旧版本数据库被包含在错误消息中,可能导致误报和混淆。 - **修复了最近的安全漏洞**:这些漏洞可能被利用来执行远程代码和绕过跨源资源共享(CORS)限制。 #### 安全研究贡献 - **Aleksandr Perevalov (Stelichmov)**:识别并报告了上述漏洞。
标题: Summer Pearl Group - Vacation Rental Management Platform v1.0.1 IDOR chained with XSS - YouTube -- 🔗来源链接
标签:media-coverage
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **漏洞类型**:IDOR(Insecure Direct Object References)和XSS(Cross-Site Scripting) - **受影响系统**:Summer Pearl Group - Vacation Rental Management Platform v1.0.1 - **视频标题**:Summer Pearl Group - Vacation Rental Management Platform v1.0.1 IDOR chained with XSS - **发布者**:Alex Perrakis - **发布时间**:9天前 - **观看次数**:15次 这些信息表明该视频可能详细介绍了如何在Summer Pearl Group的度假租赁管理平台v1.0.1版本中利用IDOR和XSS漏洞进行攻击。
标题: Login required -- 🔗来源链接
标签:signaturepermissions-required
神龙速读:从这个网页截图中可以获取到以下关于漏洞的关键信息: - **漏洞编号**:CVE-2025-5182 - **漏洞描述**:Summer Pearl Group Vacation Rental Management Platform up to 1.0.1版本存在列表授权问题。 - **访问限制**:需要登录才能查看详细信息,提示用户使用凭据登录个人账户或注册免费服务。 ```markdown ### 关键信息 - **漏洞编号**: CVE-2025-5182 - **漏洞描述**: Summer Pearl Group Vacation Rental Management Platform up to 1.0.1版本存在列表授权问题。 - **访问要求**: 需要登录才能查看详细信息。 ```
标题: CVE-2025-5182 Summer Pearl Group Vacation Rental Management Platform Listing authorization -- 🔗来源链接
标签:vdb-entry
神龙速读:### 关键漏洞信息 - **CVE编号**: CVE-2025-5182 - **产品**: Summer Pearl Group Vacation Rental Management Platform - **受影响版本**: 1.0.0 和 1.0.1 - **漏洞类型**: 授权漏洞 (CWE-639) - **描述**: - 漏洞存在于`Listing Handler`组件的未知功能中。 - 通过操纵未知输入,攻击者可以绕过授权机制,访问其他用户的数据或记录。 - 系统的授权功能无法防止用户通过修改关键标识值来访问数据。 - 影响数据完整性。 - **严重性**: 关键 - **修复建议**: - 升级到版本1.0.2可消除此漏洞。 - 升级包可在summerpearlgroup.gr下载。 - **相关资源**: - 安全公告: github.com - 类似条目: VDB-310269, VDB-310271, VDB-310272, VDB-310273
- https://nvd.nist.gov/vuln/detail/CVE-2025-5182
四、漏洞 CVE-2025-5182 的评论
匿名用户
2026-01-15 06:09:01Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.