一、 漏洞 CVE-2025-43926 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
## 概述
在 Znuny 的特定版本中发现了一个问题,通过自定义 AJAX 调用可以设置带有任意键的用户偏好,这可能导致权限或设置受到影响。
## 影响版本
- Znuny 6.5.14 及以下版本
- Znuny 7.x 通过 7.1.6 版本
## 细节
自定义 AJAX 调用到 `AgentPreferences UpdateAJAX` 子操作可以用来设置具有任意键的用户偏好。在通过 `GetUserData` 获取用户数据时,这些键值对会被整体传给其他函数调用,这些函数可能会使用这些键值对来影响权限或设置。
## 影响
该漏洞可能允许攻击者通过设置任意键值对来影响权限或配置设置,从而导致潜在的安全风险。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered in Znuny through 6.5.14 and 7.x through 7.1.6. Custom AJAX calls to the AgentPreferences UpdateAJAX subaction can be used to set user preferences with arbitrary keys. When fetching user data via GetUserData, these keys and values are retrieved and given as a whole to other function calls, which then might use these keys/values to affect permissions or other settings.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-43926 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-43926 的情报信息
-
标题: Znuny - Open-Source Service Management and Helpdesk -- 🔗来源链接
标签:
-
标题: ZSA-2025-07 -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-43926