关键漏洞信息 漏洞概述 公告编号: SSA-162255 发布日期: 2025-05-13 最后更新: 2025-05-13 当前版本: V1.0 CVSS v3.1 基础分数: 6.5 CVSS v4.0 基础分数: 7.1 影响的产品和解决方案 受影响产品及版本: - Polarion V2310: 所有版本受所有CVEs影响,目前没有计划修复。 - Polarion V2404: 可以查看更多详细信息并应用补丁。 漏洞描述 1. CVE-2024-51444 - 描述: 应用程序在数据库读取查询时未充分验证用户输入,可能导致SQL注入攻击。 - CVSS评分: v3.1基础分数6.6, v4.0基础分数7.1 - CWE: CWE-89 2. CVE-2024-51445 - 描述: 应用程序在docx导入功能中存在XML外部实体注入(XXE)漏洞。 - CVSS评分: v3.1基础分数6.5, v4.0基础分数7.1 - CWE: CWE-611 3. CVE-2024-51446 - 描述: 文件上传功能对xml文件处理不当,可能导致存储型跨站脚本攻击。 - CVSS评分: v3.1基础分数6.5, v4.0基础分数7.1 - CWE: CWE-79 4. CVE-2024-51447 - 描述: 登录实现存在响应差异漏洞,可能导致未授权远程攻击者区分有效和无效用户名。 - CVSS评分: v3.1基础分数6.5, v4.0基础分数6.9 - CWE: CWE-204 致谢 Thales Digital Factory报告了这些漏洞。 Luis Manuel Alvarez Tapia报告了CVE-2024-51444漏洞。