关键漏洞信息 漏洞概述 JVN编号: JVN#13030751 标题: ChatLuck中的多个漏洞 发布日期: 2025/10/16 更新日期: 2025/10/16 影响产品 CVE-2025-53858, CVE-2025-54461 - ChatLuck V6.6 R2.0 及更早版本 CVE-2025-58115 - ChatLuck V3.6 R1.0 到 V6.6 R1.0 漏洞描述 跨站脚本漏洞 (CWE-79) - 在聊天室中存在跨站脚本漏洞 - CVSS v3.0: 5.4 - CVSS v4.0: 4.8 - 在访客用户注册中存在跨站脚本漏洞 - CVSS v3.0: 6.1 - CVSS v4.0: 5.3 访问控制粒度不足漏洞 (CWE-1229) - 在邀请访客用户时存在访问控制粒度不足的问题 - CVSS v3.0: 5.3 - CVSS v4.0: 6.9 影响 任意脚本可能在访问产品的用户的Web浏览器上执行(CVE-2025-53858, CVE-2025-58115) 未被邀请的访客用户可以自行注册为访客用户(CVE-2025-54461) 解决方案 更新软件 - 根据开发人员提供的信息,将软件更新到最新版本。 - 开发人员已发布以下包含修复这些漏洞的更新: - CVE-2025-53858, CVE-2025-54461: ChatLuck V6.7 R1.0 - CVE-2025-58115: ChatLuck V6.6 R2.0 厂商状态 厂商: NEOJAPAN Inc. 状态: 易受攻击 最后更新: 2025/10/16 厂商备注: NEOJAPAN Inc. 网站 参考资料 JPCERT/CC Addendum 漏洞分析由 JPCERT/CC 提供 其他信息 报告者: Kentaro Ishii of GMO Cybersecurity by Ierac, Inc. 协调方: JPCERT/CC 与开发人员在信息安全早期预警合作伙伴关系下协调