一、 漏洞 CVE-2025-54599 基础信息
漏洞信息
# N/A
## 概述
Bevy Event服务在使用SSO(单点登录)功能时存在账户接管漏洞。当用户更改其配置的电子邮件地址时,攻击者可能利用该漏洞接管目标账户。
## 影响版本
截至2025年7月22日,该漏洞存在于用于eBay卖家事件及其他活动的Bevy Event服务中。
## 漏洞细节
漏洞的根本原因是SSO配置错误。攻击者可以创建自己的账户并使用SSO登录,随后在特定条件下诱使目标用户的SSO身份与攻击者账户关联,从而实现账户控制。
## 影响
成功利用该漏洞可导致:
- 攻击者接管受害者账户
- 造成敏感信息泄露
- 服务滥用或恶意操作
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Bevy Event service through 2025-07-22, as used for eBay Seller Events and other activities, allows account takeover, if SSO is used, when a victim changes the email address that they have configured. To exploit this, an attacker would create their own account and perform an SSO login. The root cause of the issue is SSO misconfiguration.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Bevy Event 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Bevy Event是美国Bevy公司的一种Bevy引擎中的通信机制。 Bevy Event 2025-07-22及之前版本存在安全漏洞,该漏洞源于SSO配置不当,可能导致账户接管。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54599 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54599 的情报信息
-
- https://www.youtube.com/watch?v=wbmIvA09Ra8
-
标题: CVE-2025-54599 — SSO Misconfiguration Leads to Account Takeover Without User Interaction · GitHub -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-54599
四、漏洞 CVE-2025-54599 的评论
暂无评论