CVE-2025-59171 - 研华DeviceOn/iEdge路径遍历漏洞
漏洞概述
由于输入验证不足,攻击者可以上传特制的配置文件来遍历目录,并以系统级权限实现远程代码执行。
漏洞详情
发布日期:2025年11月6日 23:15
最后修改:2025年11月6日 23:15
远程利用:是
漏洞来源:ics-cert@hq.dhs.gov
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 3.1 | 高危 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | 3.9 | 3.6 | ics-cert@hq.dhs.gov |
| 8.7 | CVSS 4.0 | 高危 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | - | - | ics-cert@hq.dhs.gov |
解决方案
- 对用户输入进行清理并限制文件上传位置
- 对所有用户上传实施严格的输入验证
- 强制执行上传目录限制
- 定期修补和更新应用程序
相关参考
- https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2025/icsa-25-310-01.json
- https://www.advantech.com/emt/contact
- https://www.cisa.gov/news-events/ics-advisories/icsa-25-310-01
CWE关联
CWE-22: 对路径名到受限目录的限制不当(路径遍历)
CAPEC攻击模式
- CAPEC-64: 使用斜杠和URL编码组合绕过验证逻辑
- CAPEC-76: 操纵Web输入到文件系统调用
- CAPEC-78: 在替代编码中使用转义斜杠
- CAPEC-79: 在替代编码中使用斜杠
- CAPEC-126: 路径遍历
漏洞时间线
2025年11月6日 - 收到来自ics-cert@hq.dhs.gov的新CVE
变更记录:
- 添加标签:unsupported-when-assigned
- 添加漏洞描述
- 添加CVSS v4.0和v3.1评分
- 添加CWE-22分类
- 添加相关参考链接
受影响产品
目前尚未记录受影响的具体产品信息
总受影响供应商:0 | 产品:0