一、 漏洞 CVE-2025-52392 基础信息
漏洞信息
# N/A
## 概述
Soosyze CMS 2.0 存在暴力破解登录漏洞,攻击者可通过 `/user/login` 接口不断尝试登录,导致潜在的未授权管理员访问。
## 影响版本
Soosyze CMS 2.0
## 细节
由于系统未实现速率限制和账户锁定机制,攻击者可对 `/user/login` 发起无限制的认证尝试,从而暴力破解用户凭据。
## 影响
攻击者可能通过暴力破解手段获取管理员账户访问权限,造成系统被未授权控制。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞允许攻击者通过/user/login端点进行暴力破解登录攻击,原因是缺少速率限制和锁定机制。攻击者可以无限制地提交登录尝试,可能获得未经授权的管理访问权限。这符合CWE-307:过度身份验证尝试的不当限制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Soosyze CMS 2.0 allows brute-force login attacks via the /user/login endpoint due to missing rate-limiting and lockout mechanisms. An attacker can repeatedly submit login attempts without restrictions, potentially gaining unauthorized administrative access. This vulnerability corresponds to CWE-307: Improper Restriction of Excessive Authentication Attempts.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
soosyze 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
soosyze是Soosyze开源的一个内容管理系统。 soosyze 2.0版本存在安全漏洞,该漏洞源于/user/login端点缺少速率限制和锁定机制,可能导致暴力破解攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-52392 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Este script em Bash demonstra como seria um ataque automatizado contra um formulário de login web via WorldList conhecida. | https://github.com/137f/Soosyze-CMS-2.0---CVE-2025-52392 | POC详情 |
| 2 | Este script em Bash demonstra como seria um ataque automatizado contra um formulário de login web via WorldList conhecida. | https://github.com/ftz7/Soosyze-CMS-2.0---CVE-2025-52392 | POC详情 |
三、漏洞 CVE-2025-52392 的情报信息
标题: Soosyze CMS 2.0 - Brute Force Login - Multiple webapps Exploit -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **漏洞名称**: Soosyze CMS 2.0 - Brute Force Login - **EDB-ID**: 57416 - **CVE**: 2023-5397 - **作者**: Beatriz Fresno Naumova (beafr20) - **类型**: WebApps - **平台**: Multiple - **日期**: 2023-08-18 - **验证状态**: EDB Verified: ✗ #### 描述 Soosyze CMS 2.0 允许通过 `/user/login` 进行暴力破解登录攻击,因为缺少速率限制和账户锁定机制。攻击者可以使用已知的用户名和密码字典提交无限的 POST 请求,从而可能获得未经授权的访问(CVE-307)。 #### POC 使用 - 脚本路径: `./script.sh [wordlist.txt]` - 如果没有提供字典,则使用默认字典。 - 脚本语言: Bash - 测试环境: macOS Sonoma 14.x, JoiN/bash 3.2 & Homebrew bash 5.2, curl 0.x, BSD sed 4.x, GNU coreutils 9.1 #### 标签 Advisory/Source: Link
标题: Brute Force Login Vulnerability in Soosyze CMS 2.0 (CVE-2025-52392) | beafn28 -- 🔗来源链接
标签:
神龙速读:### 关键信息 #### 漏洞概述 - **漏洞名称**: Brute Force Login Vulnerability in Soosyze CMS 2.0 (CVE-2025-52392) - **产品**: Soosyze CMS - **版本**: 2.0 - **组件**: /www/login - Authentication Controller - **CVE ID**: CVE-2025-52392 #### 描述 Soosyze CMS 2.0 存在一个漏洞,允许攻击者通过暴力破解登录尝试绕过身份验证。由于缺乏速率限制和账户锁定机制,攻击者可以使用自动化工具发送大量HTTP请求进行暴力破解。 #### 影响 - 成功利用此漏洞可能导致: - 获取未经授权的访问权限。 - 管理员级别的CMS控制权被获取。 - 数据泄露或篡改:未经授权的访问可能导致敏感数据泄露或篡改。 - **影响等级**: - 机密性: 高 - 完整性: 高 - 可用性: 低 #### 攻击细节 - **攻击向量**: 网络 - **攻击复杂度**: 低 - **所需权限**: 无 - **用户交互**: 无 - **范围**: 不变 - **CVSS v3.1 基本分数**: 9.1 (严重) #### 证明概念 (PoC) 提供了一个Python脚本,用于演示如何对Soosyze CMS 2.0进行暴力破解攻击。 #### 缓解措施 - 实施服务器端速率限制逻辑,限制每分钟内的最大失败尝试次数。 - 在多次失败尝试后强制重置账户密码。 - 引入CAPTCHA或其他缓解机制以防止暴力破解。 - 考虑记录和监控重复的失败认证尝试。 #### 发现者 Benoit Froidevaux (@beno28)
标题: No Rate Limiting in Admin Login · Issue #269 · soosyze/soosyze -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 - **漏洞标题**: No Rate Limiting in Admin Login #269 - **报告日期**: Mar 5, 2024 - **漏洞描述**: - 在管理员登录页面,用户可以进行连续攻击或猜测管理员凭据。 - 攻击者可能利用暴力破解攻击。 - 如果攻击成功,攻击者可能获得对管理员页面的访问权限并危及网站安全。 - **复现步骤**: 1. 访问 `/user/login`。 2. 使用Burp Suite拦截请求并发送到Intruder。 3. 在用户名和密码参数上添加标记,并使用好的字典列表。 4. 查找成功的登录。 - **预期行为**: - 如果攻击成功,攻击者可能访问管理员的敏感页面并危及某些页面的安全。 - **环境信息**: - Xampp - Google Chrome - 用户路径: `/user/login` - 版本: 2.0 - PHP版本 - **标签**: bug
- https://nvd.nist.gov/vuln/detail/CVE-2025-52392
四、漏洞 CVE-2025-52392 的评论
暂无评论