CVE-2025-64311 - Notepad权限控制漏洞(机密性)
CVE ID,产品,供应商…
概述
漏洞时间线
描述
Notepad模块中的权限控制漏洞。 影响:成功利用此漏洞可能影响服务机密性。
信息
发布日期: 2025年11月28日 凌晨3:16 最后修改日期: 2025年11月28日 凌晨3:16 远程利用: 否 来源: psirt@huawei.com
受影响产品
以下产品受CVE-2025-64311漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,该信息也未在下表中体现。 无受影响产品记录。
- 总受影响供应商:0 | 产品:0
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重性的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS评分。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.1 | CVSS 3.1 | 中等 | 25ac1063-e409-4190-8079-24548c77ea2e | |||
| 5.1 | CVSS 3.1 | 中等 | 1.4 | 3.6 | psirt@huawei.com |
解决方案
解决Notepad模块中的权限控制问题以保护服务机密性。
- 审查并强制执行Notepad模块的访问控制。
- 为所有模块操作实施严格的授权检查。
- 在允许访问前验证用户权限。
- 查阅供应商文档以获取具体指导。
公告、解决方案和工具参考
此处,您将找到提供与CVE-2025-64311相关的深入信息、实用解决方案和有价值工具的外部链接精选列表。
| URL | 资源 |
|---|---|
https://consumer.huawei.com/en/support/bulletin/2025/11/ |
CWE - 通用弱点枚举
CVE标识漏洞的具体实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-64311与以下CWE关联:
- CWE-200: 向未授权参与者暴露敏感信息
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类 (CAPEC) 存储了攻击模式,这些模式描述了对手利用CVE-2025-64311弱点所采用的共同属性和方法。
- CAPEC-13: 颠覆环境变量值
- CAPEC-22: 利用客户端信任
- CAPEC-59: 通过预测进行会话凭证伪造
- CAPEC-60: 重用会话ID(又称会话重放)
- CAPEC-79: 在替代编码中使用斜杠
- CAPEC-116: 挖掘
- CAPEC-169: 足迹勘察
- CAPEC-224: 指纹识别
- CAPEC-285: ICMP回显请求Ping
- CAPEC-287: TCP SYN扫描
- CAPEC-290: 枚举邮件交换 (MX) 记录
- CAPEC-291: DNS区域传输
- CAPEC-292: 主机发现
- CAPEC-293: Traceroute路由枚举
- CAPEC-294: ICMP地址掩码请求
- CAPEC-295: 时间戳请求
- CAPEC-296: ICMP信息请求
- CAPEC-297: TCP ACK Ping
- CAPEC-298: UDP Ping
- CAPEC-299: TCP SYN Ping
- CAPEC-300: 端口扫描
- CAPEC-301: TCP连接扫描
- CAPEC-302: TCP FIN扫描
- CAPEC-303: TCP圣诞扫描
- CAPEC-304: TCP空扫描
- CAPEC-305: TCP ACK扫描
- CAPEC-306: TCP窗口扫描
- CAPEC-307: TCP RPC扫描
- CAPEC-308: UDP扫描
- CAPEC-309: 网络拓扑映射
- CAPEC-310: 扫描易受攻击的软件
- CAPEC-312: 主动操作系统指纹识别
- CAPEC-313: 被动操作系统指纹识别
- CAPEC-317: IP ID序列探测
- CAPEC-318: IP ‘ID’回显字节序探测
- CAPEC-319: IP (DF) ‘不分片位’回显探测
- CAPEC-320: TCP时间戳探测
- CAPEC-321: TCP序列号探测
- CAPEC-322: TCP (ISN) 最大公约数探测
- CAPEC-323: TCP (ISN) 计数器速率探测
- CAPEC-324: TCP (ISN) 序列可预测性探测
- CAPEC-325: TCP拥塞控制标志 (ECN) 探测
- CAPEC-326: TCP初始窗口大小探测
- CAPEC-327: TCP选项探测
- CAPEC-328: TCP ‘RST’标志校验和探测
- CAPEC-329: ICMP错误信息引用探测
- CAPEC-330: ICMP错误信息回显完整性探测
- CAPEC-472: 浏览器指纹识别
- CAPEC-497: 文件发现
- CAPEC-508: 窥探
- CAPEC-573: 进程足迹勘察
- CAPEC-574: 服务足迹勘察
- CAPEC-575: 账户足迹勘察
- CAPEC-576: 组权限足迹勘察
- CAPEC-577: 所有者足迹勘察
- CAPEC-616: 建立恶意位置
- CAPEC-643: 识别系统上的共享文件/目录
- CAPEC-646: 外围设备足迹勘察
- CAPEC-651: 窃听
我们扫描GitHub仓库以检测新的概念验证利用。以下列表是已在GitHub上发布的公共利用和概念验证集合(按最近更新排序)。由于潜在的性能问题,结果限制在前15个仓库。
以下列表是文章中提及CVE-2025-64311漏洞的新闻。由于潜在的性能问题,结果限制在前20篇新闻文章。
漏洞历史
下表列出了随时间对CVE-2025-64311漏洞所做的更改。漏洞历史详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收 由 psirt@huawei.com | 2025年11月28日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Notepad模块中的权限控制漏洞。影响:成功利用此漏洞可能影响服务机密性。 | |
| 添加 | CVSS V3.1 | AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N | |
| 添加 | CWE | CWE-200 | |
| 添加 | 参考 | https://consumer.huawei.com/en/support/bulletin/2025/11/ |
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:5.1
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 作用范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 本地 | 高 | 无 | 无 | 未更改 | 高 | 无 | 无 |