Dynamics 365 Field Service跨站脚本漏洞分析

概述

CVE-2025-62211是Dynamics 365 Field Service（在线版）中的一个欺骗漏洞，该漏洞由于网页生成过程中输入验证不当导致。

漏洞描述

在Dynamics 365 Field Service（在线版）中，网页生成期间输入验证不当（跨站脚本）允许授权攻击者通过网络执行欺骗攻击。

基本信息

• 发布日期：2025年11月11日 18:15
• 最后修改：2025年11月11日 18:15
• 远程利用：否
• 信息来源：secure@microsoft.com

受影响产品

ID	厂商	产品	操作
1	Microsoft	dynamics_365

总计受影响厂商：1 | 产品：1

CVSS评分

分数	版本	严重性	向量	可利用性分数	影响分数	来源
8.7	CVSS 3.1	高		2.3	5.8	secure@microsoft.com

CVSS 3.1详细评分

• 基础CVSS分数：8.7

攻击向量：网络
攻击复杂度：低
所需权限：低
用户交互：需要
范围：变更
机密性影响：高
完整性影响：高
可用性影响：无

参考链接

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62211

CWE分类

CWE-79：网页生成期间输入验证不当（跨站脚本）

CAPEC攻击模式

• CAPEC-63：跨站脚本（XSS）
• CAPEC-85：AJAX足迹识别
• CAPEC-209：利用MIME类型不匹配的XSS
• CAPEC-588：基于DOM的XSS
• CAPEC-591：反射型XSS
• CAPEC-592：存储型XSS

相关新闻

BleepingComputer

Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws
今天是微软2025年11月补丁星期二，包含63个漏洞的安全更新，其中包括一个被主动利用的零日漏洞。此次补丁星期二还解决了四个"严重"漏洞...
发布日期：2025年11月11日（15小时29分钟前）

Zero Day Initiative

The November 2025 Security Update Review
我已经完成了Pwn2Own爱尔兰站，虽然许多人都在庆祝那些在武装部队为国家服务的人，但补丁星期二不会为任何人停止...
发布日期：2025年11月11日（15小时44分钟前）

CybersecurityNews

Microsoft November 2025 Patch Tuesday – 63 Vulnerabilities, Including 1 Zero-Day Fixed
微软今天推出了2025年11月补丁星期二安全更新，解决了其产品和服务生态系统中的63个漏洞。其中，一个零日漏洞已被利用...
发布日期：2025年11月11日（16小时前）

漏洞时间线

新CVE接收

• 来源：secure@microsoft.com
• 日期：2025年11月11日

操作	类型	旧值	新值
添加	描述		在Dynamics 365 Field Service（在线版）中，网页生成期间输入验证不当（跨站脚本）允许授权攻击者通过网络执行欺骗攻击
添加	CVSS V3.1		AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
添加	CWE		CWE-79
添加	参考		https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62211
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码