高危漏洞CVE-2025-15225分析：Sunnet WMPro任意文件读取漏洞详解

概述

WMPro是由Sunnet开发的一款软件，存在一个任意文件读取漏洞。该漏洞允许未经身份验证的远程攻击者利用相对路径遍历来读取任意系统文件。

漏洞描述

WMPro软件中存在一个任意文件读取漏洞，未经验证的远程攻击者可以利用相对路径遍历漏洞读取任意系统文件。

信息

受影响产品

以下产品受到CVE-2025-15225漏洞的影响。即使cvefeed.io知晓受影响的确切产品版本，下表也未显示该信息。

ID	供应商	产品	操作
1	Sun.net	wmpro

总计受影响供应商：1 | 产品：1

CVSS评分

通用漏洞评分系统（CVSS）是评估软件和系统漏洞严重程度的标准化框架。我们为每个CVE收集并展示来自不同来源的CVSS分数。

分数	版本	严重性	可利用性分数	影响分数	来源
7.5	CVSS 3.1	高			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
7.5	CVSS 3.1	高	3.9	3.6	twcert@cert.org.tw
8.7	CVSS 4.0	高			cded6c7f-6ce5-4948-8f87-aa7a3bbb6b0e
8.7	CVSS 4.0	高			twcert@cert.org.tw

解决方案

通过更新软件和限制文件访问来修复相对路径遍历漏洞。

参考链接（建议、解决方案和工具）

这里提供了一个精心策划的外部链接列表，这些链接提供了有关CVE-2025-15225的深入信息、实用解决方案和有价值的工具。

URL	资源
https://www.twcert.org.tw/en/cp-139-10603-67149-2.html
https://www.twcert.org.tw/tw/cp-132-10602-c1c69-1.html

CWE - 通用缺陷枚举

虽然CVE标识特定的漏洞实例，但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-15225与以下CWE相关联：

常见攻击模式枚举和分类（CAPEC）

常见攻击模式枚举和分类（CAPEC）存储攻击模式，这些模式描述了攻击者利用CVE-2025-15225弱点的常用属性和方法。

漏洞时间线详情

漏洞历史记录详细信息有助于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

日期	操作	类型	新值
2025年12月29日	新增CVE	描述	WMPro developed by Sunnet has an Arbitrary File Read vulnerability, allowing unauthenticated remote attackers to exploit Relative Path Traversal to read arbitrary system files.
		CVSS V4.0	AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
		CVSS V3.1	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
		CWE	CWE-23
		参考链接	https://www.twcert.org.tw/en/cp-139-10603-67149-2.html
		参考链接	https://www.twcert.org.tw/tw/cp-132-10602-c1c69-1.html

漏洞评分详情

CVSS 4.0

CVSS 3.1