一、 漏洞 CVE-2025-62413 基础信息
漏洞信息
                                        # MQTTX 跨站脚本漏洞

## 概述

MQTTX 是一款支持 MQTT 5.0 的桌面客户端和测试工具。在版本 1.12.0 中,因未正确处理 MQTT 消息的负载渲染,引入了一个跨站脚本(XSS)漏洞。

## 影响版本

MQTTX `v1.12.0`。

## 细节

- 漏洞因 MQTTX 在消息查看器中直接渲染 MQTT 消息负载所致。
- 负载中若包含恶意 HTML 或 JavaScript 内容,会被直接执行。
- 此问题在连接到不可信或多人共享的 MQTT Broker 时尤为危险。

## 影响

- 攻击者可能通过脚本注入窃取 MQTT 连接凭据。
- 可以在应用 UI 的上下文中执行任意脚本。
- 有可能触发非预期的操作或破坏消息的查看行为。

## 修复版本

该漏洞已在 `v1.12.1` 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
MQTTX vulnerable to cross-site scripting via improper message payload rendering
来源:美国国家漏洞数据库 NVD
漏洞描述信息
MQTTX is an MQTT 5.0 desktop client and MQTT testing tool. A Cross-Site Scripting (XSS) vulnerability was introduced in MQTTX v1.12.0 due to improper handling of MQTT message payload rendering. Malicious payloads containing HTML or JavaScript could be rendered directly in the MQTTX message viewer. If exploited, this could allow attackers to execute arbitrary scripts in the context of the application UI — for example, attempting to access MQTT connection credentials or trigger unintended actions through script injection. This vulnerability is especially relevant when MQTTX is used with brokers in untrusted or multi-tenant environments, where message content cannot be fully controlled. This vulnerability is fixed in 1.12.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
MQTTX 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
MQTTX是EMQ Technologies开源的一个MQTT客户端工具箱。 MQTTX 1.12.0版本存在跨站脚本漏洞,该漏洞源于MQTT消息有效载荷渲染处理不当,可能导致跨站脚本攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62413 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62413 的情报信息
四、漏洞 CVE-2025-62413 的评论

暂无评论

发表评论