VDB-303635 · CVE-2025-3389 · IBRQXH

hailey888 oa_system até 2025.01.01 Backend InformManageController.java testMess menu Script de Site Cruzado

CVSS Meta Pontuação Temporária	Preço atual do exploit (≈)	Nota de Interesse CTI
3.3	$0-$5k	0.00

Sumárioinformação

Uma vulnerabilidade foi encontrada em hailey888 oa_system até 2025.01.01. Foi classificada como problemático. Afetado é a função testMess do arquivo cn/gson/oasys/controller/inform/InformManageController.java do componente Backend. A manipulação do argumento menu com uma entrada desconhecida leva a Script de Site Cruzado. Esta vulnerabilidade é conhecida como CVE-2025-3389. É possível lançar o ataque remotamente. Além disso, existe um exploit disponível. Este produto utiliza um modelo de lançamento contínuo (rolling release) para fornecer entregas contínuas. Portanto, não há detalhes de versões afetadas ou atualizadas disponíveis.

Detalhesinformação

Uma vulnerabilidade foi encontrada em hailey888 oa_system até 2025.01.01. Foi classificada como problemático. Afetado é a função testMess do arquivo cn/gson/oasys/controller/inform/InformManageController.java do componente Backend. A manipulação do argumento menu com uma entrada desconhecida leva a Script de Site Cruzado. Usar CWE para declarar o problema leva a CWE-79. A fraqueza foi publicada como IBRQXH. O comunicado está disponível para download em gitee.com.

Esta vulnerabilidade é conhecida como CVE-2025-3389. É possível lançar o ataque remotamente. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Além disso, existe um exploit disponível. O exploit foi divulgado ao público e pode ser utilizado. Atualmente, o preço atual de um exploit pode ser aproximadamente USD $0-$5k no momento. O projeto MITRE ATT&CK declara a técnica de ataque como T1059.007.

É declarado como prova de conceito. O exploit está disponível para download em gitee.com.

Este produto utiliza um modelo de lançamento contínuo (rolling release) para fornecer entregas contínuas. Portanto, não há detalhes de versões afetadas ou atualizadas disponíveis.

Produtoinformação

Fabricante

hailey888

Nome

oa_system

Versão

2025.01.01

Site

Produto: https://gitee.com/hailey888/oa_system/

CPE 2.3informação

🔍

CPE 2.2informação

🔍

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA CVSS-B Score: 🔍
CNA CVSS-BT Score: 🔍
CNA Vetor: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 3.5
VulDB Meta Pontuação Temporária: 3.3

VulDB Pontuação Base: 3.5
VulDB Pontuação Temporária: 3.2
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CNA Pontuação Base: 3.5
CNA Vetor: 🔍

CVSSv2informação

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complexidade	Autenticação	Confidencialidade	Integridade	Disponibilidade
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Script de Site Cruzado
CWE: CWE-79 / CWE-94 / CWE-74
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Descarregar: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Tendência de preços: 🔍
Estimativa de preço atual: 🔍