CVE-2025-23645

Feb 5, 2025

Published Date: 2025-02-04T15:15:22.873
Last Modified: 2025-02-04T15:15:22.873

CVSS Score: 7.1 (HIGH)

EPSS Score: N/A

Risk Score: N/A

Risk Score dựa trên điểm CVSS và EPSS. Điểm này chỉ mang tính chất tham khảo và không được công nhận quốc tế.

Meter Needle
CVSS: 7.1  |  EPSS: 0%
NVD Links:

Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) vulnerability in Optimize Worldwide Find Content IDs allows Reflected XSS. This issue affects Find Content IDs: from n/a through 1.0.

1. Mô tả CVE : CVE-2025-23645
– Lỗ hổng ‘Xử lý không đúng mức đầu vào trong quá trình sinh trang web’ (Cross-site Scripting) trong Optimize Worldwide Find Content IDs cho phép tấn công XSS phản chiếu. Vấn đề này ảnh hưởng đến Find Content IDs: từ n/a đến 1.0.

– Vendor – Product – Version bị ảnh hưởng: Optimize Worldwide – Find Content IDs – từ n/a đến 1.0

2. Phân tích kỹ thuật tấn công:
– Dựa trên CVE và MITRE ATT&CK, có thể phân tích các kỹ thuật tấn công có thể khai thác lỗ hổng này như sau:
Các kỹ thuật MITRE ATT&CK liên quan:
1. T1064 – Scripting: Kẻ tấn công có thể sử dụng kỹ thuật này để thực hiện mã độc hại thông qua việc chèn mã JavaScript vào trong các trường đầu vào hoặc URL.
2. T1053.002 – Scheduled Task/Job: Kẻ tấn công có thể lên lịch cho các tác vụ độc hại để thực thi mã khi người dùng truy cập vào trang web.

3. Tác động tiềm tàng:
– Nếu CVE này bị khai thác thành công, các tác động có thể bao gồm:
– Đánh cắp dữ liệu nhạy cảm từ người dùng, chẳng hạn như cookie phiên, thông tin đăng nhập, hoặc dữ liệu cá nhân.
– Leo thang đặc quyền, cho phép kẻ tấn công thực hiện hành động với quyền truy cập cao hơn trong hệ thống.
– Tê liệt hệ thống thông qua việc thực thi mã độc, làm cho dịch vụ không khả dụng đối với người dùng hợp pháp.
– Phát tán mã độc đến các hệ thống khác thông qua việc lừa người dùng nhấp vào liên kết độc hại.

4. Các biện pháp giảm thiểu:
– Để giảm thiểu lỗ hổng này, có thể thực hiện các bước sau:
• Cập nhật phần mềm, hoặc vá lỗ hổng nếu có.
• Tăng cường cấu hình bảo mật khi cần thiết (ví dụ: kích hoạt xác thực đa yếu tố, hạn chế quyền truy cập).
• Sử dụng các công cụ hoặc phần mềm bảo mật cụ thể để phát hiện và ngăn chặn (ví dụ: phần mềm diệt virus, hệ thống phát hiện xâm nhập).
• Triển khai các phương pháp giám sát và báo cáo để phát hiện hoạt động bất thường (ví dụ: kích hoạt ghi nhật ký, thiết lập cảnh báo).
• Thực hiện kiểm tra bảo mật định kỳ và kiểm tra mã nguồn để phát hiện lỗ hổng tiềm ẩn.
• Áp dụng biện pháp mã hóa đầu vào và đầu ra để ngăn chặn các cuộc tấn công XSS.

Mitre ATT&CK Technical v15.1

T1064 – Scripting
T1053.002 – At

Liên kết tham khảo

Vendor - Produce - Version

None

Tuyên bố từ chối trách nhiệm

Nội dung trên trang web này được tự động lấy từ các trang web bên ngoài như Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD), GitHub và các nguồn liên quan đến bảo mật khác. Nội dung này chỉ nhằm mục đích tham khảo, và chúng tôi không chịu trách nhiệm về tính chính xác hoặc tính toàn vẹn của thông tin được liên kết hoặc hiển thị từ các nguồn này.