一、 漏洞 CVE-2025-67834 基础信息

                                        # N/A

## 概述
Paessler PRTG Network Monitor 在 25.4.114 之前版本中存在跨站 scripting（XSS）漏洞，未经身份验证的攻击者可利用 `filter` 参数触发。

## 影响版本
25.4.114 之前的所有版本。

## 细节
攻击者可通过向系统发送特制请求，利用 `filter` 参数注入恶意脚本代码，从而在受影响系统的用户浏览器上下文中执行脚本。

## 影响
未经身份验证的远程攻击者可实施跨站 scripting 攻击，可能导致会话劫持、敏感信息泄露或对受监控系统的进一步攻击。
                                        

二、漏洞 CVE-2025-67834 的公开POC

三、漏洞 CVE-2025-67834 的情报信息

• 标题： Vulnerabilities in PRTG prior v25.4.114.1032 | Paessler Knowledge Base -- 🔗来源链接

  标签：

  神龙速读：

                                          以下是从该网页截图中获取到的关于漏洞的关键信息：
  
  - **漏洞编号：**
    - CVE-2025-67833
    - CVE-2025-67834
    - CVE-2025-67835
  
  - **漏洞描述：**
    - CVE-2025-67833: CVSS 3.1 Base Score High (8.1) - 反射型跨站脚本漏洞 (XSS)，攻击者可以在tag参数中注入并执行任意JavaScript代码。
    - CVE-2025-67834: CVSS 3.1 Base Score High (8.1) - 反射型跨站脚本漏洞 (XSS)，攻击者可以在filter参数中注入并执行任意JavaScript代码。
    - CVE-2025-67835: CVSS 3.1 Base Score Low (3.5) - 通知联系人功能中的拒绝服务 (DoS) 漏洞，经过身份验证的攻击者可以利用无效值发送请求来导致服务中断。
  
  - **修复措施：**
    - 通过发布新版本PRTG v25.4.114.1032，包含了用于修复这些漏洞的修复程序。
  
  - **潜在影响：**
    - 攻击者可能通过构造恶意链接利用XSS漏洞，一旦点击这些链接，攻击者可以窃取会话cookie，冒充用户权限，窃取数据或执行未经授权的操作。
    -对于CVE-2025-67835，攻击者可能影响通知联系人页面的功能。
    - 保密性、完整性和可用性很容易受到权限提升的威胁。
                                          

  

• 标题： Paessler - The Monitoring Experts -- 🔗来源链接

  标签：

  神龙速读：

                                          从这个网页截图中，关于漏洞的关键信息总结如下：
  
  - **Cookie 漏洞提示**:
      - 网页顶部有一个关于Cookie的提示框，提醒用户有关Cookie的使用和同意策略。这可能涉及到用户隐私和数据安全问题，需要确保用户明确知情并同意。
  
  - **产品安全特性**:
      - PRTG 系列监控产品强调了在帮助用户提前发现问题和故障方面的作用，这暗示该产品集成了多种安全监控功能，可以及时发现潜在的漏洞和安全威胁。
  
  - **企业级安全保障**:
      - PRTG Enterprise Monitor 针对大型和极其大型的基础设施，提供了强大的监控解决方案，表明其设计时考虑了企业级应用的安全性和稳定性需求。
  
  - **技术支持与信息**:
      - 网站底部提供了多种联系和沟通渠道，包括 Email 地址、电话和社交媒体链接，以便用户报告潜在的漏洞或安全问题。
  
  总的来说，这张截图主要展示了网站的功能和服务，但并没有直接提到具体的漏洞信息。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-67834

四、漏洞 CVE-2025-67834 的评论