概述
CVE-2025-62210是Dynamics 365 Field Service(在线版)中的一个欺骗漏洞,CVSS 3.1评分为8.7分,属于高危漏洞。
漏洞描述
在Dynamics 365 Field Service(在线版)中,网页生成期间输入验证不当(跨站脚本)允许授权攻击者通过网络执行欺骗攻击。
漏洞详情
发布日期:2025年11月11日 18:15
最后修改:2025年11月11日 18:15
远程利用:否
来源:secure@microsoft.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Microsoft | dynamics_365 |
受影响厂商总数:1 | 产品总数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 3.1 | 高危 | - | 2.3 | 5.8 | secure@microsoft.com |
参考信息
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62210
CWE常见弱点枚举
CVE-2025-62210与以下CWE相关:
CWE-79:网页生成期间输入验证不当(跨站脚本)
常见攻击模式枚举和分类(CAPEC)
与CVE-2025-62210弱点相关的攻击模式:
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
漏洞时间线
新CVE接收:由secure@microsoft.com于2025年11月11日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Dynamics 365 Field Service中的输入验证不当漏洞描述 |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
| 添加 | CWE | - | CWE-79 |
| 添加 | 参考 | - | 微软安全更新指南链接 |
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | |||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
公众号二维码
公众号二维码
)
)
![[译] 省略 Async 与 Await](http://pic.xiahunao.cn/[译] 省略 Async 与 Await)
