CVE-2025-55061 - 优先级 - CWE-434 不受限制的危险文件上传
概述
CVE-2025-55061 是一个与 CWE-434 不受限制的危险文件上传 相关的高危漏洞。
描述
此漏洞被归类为 CWE-434 不受限制的危险文件上传。
信息
- 发布日期: 2025年12月29日 下午6:15
- 最后修改日期: 2025年12月29日 下午6:15
- 可远程利用: 是!
- 来源: cna@cyber.gov.il
受影响产品
以下产品受 CVE-2025-55061 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本,相关信息也未在下表中体现。
- 未记录到受影响的产品
受影响供应商总数: 0 | 产品数: 0
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个 CVE 收集并显示来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | a57ee1ae-c9c1-4f40-aa7b-cf10760fde3f | |||
| 8.8 | CVSS 3.1 | 高危 | 2.8 | 5.9 | cna@cyber.gov.il | |
| 8.8 | CVSS 3.1 | 高危 | 2.8 | 5.9 | MITRE-CVE |
解决方案
配置应用程序以限制仅允许上传安全的文件类型。
- 验证并限制允许的文件扩展名。
- 实施服务器端文件类型验证。
- 禁用已上传文件的执行权限。
- 使用文件白名单。
咨询、解决方案和工具的参考链接
此处提供了一个精选的外部链接列表,提供与 CVE-2025-55061 相关的深入信息、实用解决方案和有价值的工具。
CWE - 通用缺陷枚举
虽然 CVE 标识具体的漏洞实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-55061 与以下 CWE 相关:
- CWE-434: 不受限制的危险文件上传
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类 (CAPEC) 存储攻击模式,这些模式描述了对手利用 CVE-2025-55061 弱点所采用的常见属性和方法。
- CAPEC-1: 访问未受ACL适当约束的功能
漏洞时间线详情
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 CVE 由 cna@cyber.gov.il 接收 | 2025年12月29日 | ||
| 添加 | 描述 | CWE-434 不受限制的危险文件上传 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-434 | |
| 添加 | 参考 | https://www.gov.il/en/departments/dynamiccollectors/cve_advisories_listing?skip=0 |
漏洞评分详情
CVSS 3.1
- 基础 CVSS 分数: 8.8
攻击向量 网络 | 攻击复杂度 低 | 所需权限 低 | 用户交互 无 | 作用范围 未更改 | 机密性影响 高 | 完整性影响 高 | 可用性影响 高