CVE-2025-58310 - Apache分布式组件权限控制绕过
概述
这是一个关于Apache分布式组件中权限控制漏洞(CVE-2025-58310)的技术公告页面。该漏洞被评估为高风险。
漏洞描述
分布式组件中存在权限控制漏洞。影响:成功利用此漏洞可能会影响服务的保密性。
关键时间信息
- 发布日期:2025年11月28日 凌晨3:15
- 最后修改日期:2025年11月28日 凌晨3:15
- 是否可以远程利用:否
- 信息来源:psirt@huawei.com
受影响产品
当前未记录到受影响的具体产品。 总计受影响供应商:0 | 产品:0
CVSS评分
下表汇总了从不同来源收集的针对此CVE的CVSS评分。
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8 | CVSS 3.1 | 高 | 25ac1063-e409-4190-8079-24548c77ea2e | |||
| 8.0 | CVSS 3.1 | 高 | 2.5 | 5.5 | psirt@huawei.com |
CVSS 3.1 基础评分详情:8
- 攻击向量 (AV):本地
- 攻击复杂度 (AC):低
- 所需权限 (PR):无
- 用户交互 (UI):无
- 范围 (S):未更改
- 保密性影响 (C):高
- 完整性影响 (I):低
- 可用性影响 (A):高
解决方案
实施严格的访问控制,并验证所有组件交互的权限。
- 审查并强制执行组件访问策略。
- 严格验证用户权限。
- 基于角色限制数据访问。
参考链接
以下是提供与CVE-2025-58310相关的深入信息、实用解决方案和有价值工具的外部链接。
| URL | 资源 |
|---|---|
| https://consumer.huawei.com/en/support/bulletin/2025/11/ | 华为安全公告 |
关联的CWE(常见缺陷枚举)
CVE-2025-58310 与以下CWE相关联:
- CWE-843:使用不兼容类型访问资源(“类型混淆”)
CAPEC(常见攻击模式枚举与分类)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了对手利用CVE-2025-58310弱点所采用的常见属性和方法。(页面中未列出具体CAPEC条目)
漏洞历史记录
下表列出了CVE-2025-58310漏洞随时间的变化。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收 (由 psirt@huawei.com) - 2025年11月28日
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 分布式组件中的权限控制漏洞。影响:成功利用此漏洞可能会影响服务的保密性。 | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H | |
| 添加 | CWE | CWE-843 | |
| 添加 | 参考链接 | https://consumer.huawei.com/en/support/bulletin/2025/11/ |