概述
CVE-2025-62211是Dynamics 365 Field Service(在线版)中的一个欺骗漏洞,该漏洞由于网页生成过程中输入验证不当导致。
漏洞描述
在Dynamics 365 Field Service(在线版)中,网页生成期间输入验证不当(跨站脚本)允许授权攻击者通过网络执行欺骗攻击。
基本信息
- 发布日期:2025年11月11日 18:15
- 最后修改:2025年11月11日 18:15
- 远程利用:否
- 信息来源:secure@microsoft.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Microsoft | dynamics_365 |
总计受影响厂商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.7 | CVSS 3.1 | 高 | 2.3 | 5.8 | secure@microsoft.com |
CVSS 3.1详细评分
- 基础CVSS分数:8.7
攻击向量:网络
攻击复杂度:低
所需权限:低
用户交互:需要
范围:变更
机密性影响:高
完整性影响:高
可用性影响:无
参考链接
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62211
CWE分类
CWE-79:网页生成期间输入验证不当(跨站脚本)
CAPEC攻击模式
- CAPEC-63:跨站脚本(XSS)
- CAPEC-85:AJAX足迹识别
- CAPEC-209:利用MIME类型不匹配的XSS
- CAPEC-588:基于DOM的XSS
- CAPEC-591:反射型XSS
- CAPEC-592:存储型XSS
相关新闻
BleepingComputer
Microsoft November 2025 Patch Tuesday fixes 1 zero-day, 63 flaws
今天是微软2025年11月补丁星期二,包含63个漏洞的安全更新,其中包括一个被主动利用的零日漏洞。此次补丁星期二还解决了四个"严重"漏洞...
发布日期:2025年11月11日(15小时29分钟前)
Zero Day Initiative
The November 2025 Security Update Review
我已经完成了Pwn2Own爱尔兰站,虽然许多人都在庆祝那些在武装部队为国家服务的人,但补丁星期二不会为任何人停止...
发布日期:2025年11月11日(15小时44分钟前)
CybersecurityNews
Microsoft November 2025 Patch Tuesday – 63 Vulnerabilities, Including 1 Zero-Day Fixed
微软今天推出了2025年11月补丁星期二安全更新,解决了其产品和服务生态系统中的63个漏洞。其中,一个零日漏洞已被利用...
发布日期:2025年11月11日(16小时前)
漏洞时间线
新CVE接收
- 来源:secure@microsoft.com
- 日期:2025年11月11日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 在Dynamics 365 Field Service(在线版)中,网页生成期间输入验证不当(跨站脚本)允许授权攻击者通过网络执行欺骗攻击 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N | |
| 添加 | CWE | CWE-79 | |
| 添加 | 参考 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62211 | |
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | |||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
公众号二维码
公众号二维码
