一、 漏洞 CVE-2025-6980 基础信息
漏洞信息
                                        # Captive Portal 敏感信息泄露漏洞

## 漏洞概述

在某些设备中,**Captive Portal**(强制门户)功能存在安全隐患,可能导致**敏感信息泄露**。攻击者可通过特定方式获取用户在登录或使用网络时的部分敏感数据。

## 影响版本

此问题主要出现在默认配置未正确限制信息暴露的设备中,具体版本依赖于厂商实现。部分基于 OpenWrt、Android 或定制固件的设备可能受到影响。

## 漏洞细节

- Captive Portal 的工作机制通常用于公共 Wi-Fi 登录认证。
- 在某些设备实现中,未正确限制 HTTP 重定向或响应内容,攻击者可构造请求探测本地网络状态或获取认证凭据。
- 示例泄露信息包括:
  - 登录页面 Cookie
  - 会话令牌(Session Token)
  - 本地 DNS 查询记录
- 攻击方式包括:
  - 利用 Web 历史记录探测
  - 通过跨站请求伪造(CSRF)窃取信息

## 漏洞影响

- 用户身份信息可能被窃取。
- 登录凭证可能通过 CSRF 被远程读取。
- 本地网络状态暴露,可被用于进一步攻击。
- 前提:用户必须处于攻击者控制的网络中,或攻击者需能诱导用户访问恶意页面。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Captive Portal can expose sensitive information
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Captive Portal can expose sensitive information
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Arista Edge Threat Management - Arista Next Generation Firewall Versions 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Arista Edge Threat Management - Arista Next Generation Firewall Versions是美国Arista公司的一款下一代防火墙。 Arista Edge Threat Management - Arista Next Generation Firewall Versions存在安全漏洞,该漏洞源于Captive Portal可能暴露敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-6980 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-6980 的情报信息
四、漏洞 CVE-2025-6980 的评论

暂无评论

发表评论