关键漏洞信息 漏洞概述 CVE编号: CVE-2025-24833, CVE-2025-52583, CVE-2025-54760, CVE-2025-54859, CVE-2025-55072, CVE-2025-58079, CVE-2025-58426 受影响产品: desknet's NEO (V4.0R1.0 to V9.0R2.0), desknet's Web Server 漏洞描述 存储型跨站脚本 (CWE-79): - CVSS v3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:A/N Base Score 4.8 - CVSS v3.0/AV:N/AC:L/PR:L/UI:R/S:C/L:L/E:H/A:N Base Score 5.4 - 相关CVE: CVE-2025-24833, CVE-2025-54760, CVE-2025-55072 反射型跨站脚本 (CWE-79): - CVSS v3.0/AV:N/AC:L/AT:N/PR:L/UI:R/AV:C/AV:N/SC:L/SE:L/I:A/N Base Score 5.1 - CVSS v3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/E:L/A:N Base Score 6.1 - 相关CVE: CVE-2025-52583 存储型跨站脚本 (CWE-79): - CVSS v3.0/AV:N/AC:L/AT:N/PR:L/UI:R/AV:C/AV:N/SC:L/SE:L/I:A/N Base Score 4.6 - CVSS v3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/E:L/A:N Base Score 4.0 - 相关CVE: CVE-2025-54859 AppSuite中备用路径的不当保护 (CWE-424): - CVSS v3.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VL:VA/N/SC:N/SE:N/SA:N Base Score 5.3 - CVSS v3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N Base Score 4.3 - 相关CVE: CVE-2025-58079 使用硬编码的加密密钥 (CWE-321): - CVSS v3.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VL:VA/N/SC:N/SE:N/SA:N Base Score 5.3 - CVSS v3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N Base Score 4.3 - 相关CVE: CVE-2025-58426 影响 可能在用户的Web浏览器中执行任意JavaScript代码。 远程认证攻击者可能创建恶意AppSuite应用程序。 解决方案 对于CVE-2025-24833, CVE-2025-52583, CVE-2025-54760, CVE-2025-54859, CVE-2025-55072, CVE-2025-58079, CVE-2025-58426: 更新软件至最新版本。 对于CVE-2025-52583: 停止使用desknet's Web Server并切换到IIS。 报告者 Shy Adapt of GMO Cybersecurity by Iteara, Inc. Ryo Sato Daisuke Ohana Kentaro Ishii of GMO Cybersecurity by Iteara, Inc.