一、 漏洞 CVE-2025-6811 基础信息
漏洞信息
# Mescius ActiveReports.NET TypeResolutionService 反序列化不可信数据远程代码执行漏洞
## 概述
Mescius ActiveReports.NET 中的 TypeResolutionService 类存在一个反序列化未信任数据的漏洞,远程攻击者可以利用此漏洞执行任意代码。
## 影响版本
未提供具体的影响版本信息。
## 细节
漏洞存在于 TypeResolutionService 类中,由于对用户提供的数据缺乏充分的验证,导致反序列化未信任的数据。攻击者可以利用此漏洞以当前进程的上下文执行代码。
## 影响
此漏洞需要与库进行交互才能被利用,具体攻击向量取决于实现方式。该漏洞被编号为 ZDI-CAN-25397。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Mescius ActiveReports.NET TypeResolutionService Deserialization of Untrusted Data Remote Code Execution Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Mescius ActiveReports.NET TypeResolutionService Deserialization of Untrusted Data Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Mescius ActiveReports.NET. Interaction with this library is required to exploit this vulnerability but attack vectors may vary depending on the implementation.
The specific flaw exists within the TypeResolutionService class. The issue results from the lack of proper validation of user-supplied data, which can result in deserialization of untrusted data. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-25397.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
Mescius ActiveReports.NET 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mescius ActiveReports.NET是日本Mescius公司的一款.NET报表工具。 Mescius ActiveReports.NET存在代码问题漏洞,该漏洞源于TypeResolutionService类未正确验证用户提供数据,可能导致反序列化攻击和远程代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-6811 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
