toeverything AFFiNE जोपर्यंत 0.24.1 Avatar Upload Image Endpoint क्रॉस साइट स्क्रिप्टिंग
| CVSS मेटा टेम्प स्कोअर | सध्याची शोषक किंमत (≈) | सीटीआई इंटरेस्ट स्कोअर |
|---|---|---|
| 3.3 | $0-$5k | 0.29 |
सारांश
एक दुर्बलता जी समस्याग्रस्त म्हणून ओळखली गेली आहे, ती toeverything AFFiNE जोपर्यंत 0.24.1 मध्ये सापडली आहे. संबंधित आहे अज्ञात फंक्शन घटक Avatar Upload Image Endpoint च्या. सॉफ्टवेअरमध्ये वापर क्रॉस साइट स्क्रिप्टिंग घडवून आणतो. ही कमतरता CVE-2025-11945 या नावाने ओळखली जाते. हा हल्ला रिमोटली सुरू करता येऊ शकतो. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
तपशील
एक दुर्बलता जी समस्याग्रस्त म्हणून ओळखली गेली आहे, ती toeverything AFFiNE जोपर्यंत 0.24.1 मध्ये सापडली आहे. संबंधित आहे अज्ञात फंक्शन घटक Avatar Upload Image Endpoint च्या. सॉफ्टवेअरमध्ये वापर क्रॉस साइट स्क्रिप्टिंग घडवून आणतो. CWE द्वारे समस्या जाहीर केल्यास CWE-79 येथे पोहोचता येते. ही दुर्बलता प्रकाशित झाली होती. drive.google.com या ठिकाणी सल्ला डाउनलोडसाठी उपलब्ध आहे.
ही कमतरता CVE-2025-11945 या नावाने ओळखली जाते. हा हल्ला रिमोटली सुरू करता येऊ शकतो. तांत्रिक माहिती उपलब्ध नाही. या असुरक्षिततेची लोकप्रियता सरासरीपेक्षा कमी आहे. यासाठी एक एक्स्प्लॉइट उपलब्ध आहे. शोषणाची माहिती सार्वजनिक करण्यात आली आहे आणि ते वापरले जाऊ शकते. आत्ताच्या क्षणी सुमारे USD $0-$5k असण्याची शक्यता आहे. MITRE ATT&CK प्रकल्प T1059.007 या हल्ला तंत्रज्ञानाची घोषणा करतो.
याला प्रूफ-ऑफ-कॉन्सेप्ट असे घोषित करण्यात आले आहे. drive.google.com या ठिकाणी शोषण डाउनलोडसाठी शेअर केले आहे.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
उत्पादन
विक्रेता
नाम
आवृत्ती:
CPE 2.3
CPE 2.2
CVSSv4
VulDB सदिश: 🔒VulDB विश्वसनीयता:: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA सदिश: 🔒
CVSSv3
VulDB मेटा बेस स्कोअर: 3.5VulDB मेटा टेम्प स्कोअर: 3.3
VulDB बेस स्कोअर: 3.5
VulDB टेम्प स्कोअर: 3.2
VulDB सदिश: 🔒
VulDB विश्वसनीयता:: 🔍
CNA बेस स्कोअर: 3.5
CNA सदिश: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | संमिश्रता | प्रमाणीकरण | गोपनीयता[संपादन]। | सचोटी | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
| अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
VulDB बेस स्कोअर: 🔒
VulDB टेम्प स्कोअर: 🔒
VulDB विश्वसनीयता:: 🔍
शोषण करणे:
वर्ग: क्रॉस साइट स्क्रिप्टिंगCWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
शारीरिक: नाही
स्थानिक: नाही
रिमोट: हो
उपलब्धता: 🔒
प्रवेश करा: सार्वजनिक
स्थान: प्रूफ-ऑफ-कॉन्सेप्ट
डाउनलोड करा: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
किंमत ीचा अंदाज: 🔍
सध्याच्या किमतीचा अंदाज: 🔒
| 0-Day | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
|---|---|---|---|---|
| आज | अनलॉक करा | अनलॉक करा | अनलॉक करा | अनलॉक करा |
थ्रेट इंटेलिजन्स
व्याज: 🔍सक्रिय अभिनेते: 🔍
सक्रिय एपीटी गट: 🔍
प्रतिकारात्मक उपाय योजना
शिफारस केली आहे: कोणतेही शमन माहित नाहीस्थान: 🔍
0 दिवसांचा वेळ: 🔒
टाइमलाइन
19/10/2025 सल्लागाराने खुलासा केला19/10/2025 VulDB Entry निर्माण
20/10/2025 VulDB Entry शेवटचे अपडेट
स्त्रोत
सल्लागार: drive.google.comस्थान: परिभाषित केलेले नाही
CVE: CVE-2025-11945 (🔒)
GCVE (CVE): GCVE-0-2025-11945
GCVE (VulDB): GCVE-100-329025
EUVD: 🔒
CNNVD: CNNVD-202510-2554 - Toeverything AFFiNE 代码注入漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
प्रवेश
तयार केली: 19/10/2025 05:04 AMअद्ययावत: 20/10/2025 08:42 PM
बदल: 19/10/2025 05:04 AM (55), 19/10/2025 11:20 PM (30), 20/10/2025 03:53 AM (1), 20/10/2025 08:42 PM (6)
संपूर्ण: 🔍
Submitter: HAMZAOUI Mohamed
Cache ID: 253:450:103
प्रस्तुत करा
मान्य केले
- प्रस्तुत करा #670888: toeverything AFFiNE 0.24.1 Cross Site Scripting (जवळ HAMZAOUI Mohamed)
अद्याप कोणतीही प्रतिक्रिया नाही. भाषा: mr + en.
कृपया टिप्पणी करण्यासाठी लॉग इन करा.