一、 漏洞 CVE-2025-9158 基础信息
漏洞信息
# 请求跟踪器存储型XSS漏洞
## 概述
Request Tracker 存在一个存储型 XSS 漏洞,位于其日历邀请解析功能。该功能在展示邀请数据时未进行 HTML 内容消毒,导致攻击者可通过构造恶意电子邮件,触发 JavaScript 代码在用户查看工单时执行。
## 影响版本
- 5.0.4 至 5.0.8
- 6.0.0 至 6.0.1
## 细节
漏洞源于日历邀请内容在展示时未正确过滤或转义 HTML 内容。当用户查看含有恶意脚本的工单时,这些脚本会在浏览器中执行,从而可能导致会话劫持、信息泄露或页面内容篡改。
## 影响
攻击者可以利用该漏洞在当前登录用户的上下文中执行任意 JavaScript 代码,进而进行敏感操作、窃取用户信息或破坏应用程序的前端行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Stored XSS in Request Tracker
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Request Tracker software is vulnerable to a Stored XSS vulnerability in calendar invitation parsing feature, which displays invitation data without HTML sanitization. XSS vulnerability allows an attacker to send a specifically crafted e-mail enabling JavaScript code execution by displaying the ticket in the context of the logged-in user.
This vulnerability affects versions from 5.0.4 through 5.0.8 and from 6.0.0 through 6.0.1.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-9158 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-9158 的情报信息
四、漏洞 CVE-2025-9158 的评论
暂无评论