CVE-2025-58310 - Apache分布式组件权限控制绕过
概述
这是一个关于Apache分布式组件中权限控制漏洞的安全公告。成功利用此漏洞可能影响服务的机密性。
漏洞描述
分布式组件中存在权限控制漏洞。影响:成功利用此漏洞可能影响服务机密性。
信息
- 发布日期:2025年11月28日 凌晨3:15
- 最后修改日期:2025年11月28日 晚上11:11
- 远程利用:否
- 来源:psirt@huawei.com
受影响产品
以下产品受到CVE-2025-58310漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未显示该信息。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Huawei | HarmonyOS |
总计受影响供应商:1 | 产品:1
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重性的标准化框架。我们为每个CVE收集并显示来自各种来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8 | CVSS 3.1 | 高 | 25ac1063-e409-4190-8079-24548c77ea2e | |||
| 8.0 | CVSS 3.1 | 高 | 2.5 | 5.5 | psirt@huawei.com |
解决方案
实施严格的访问控制并验证所有组件交互的权限。
- 审查并强制执行组件访问策略。
- 严格验证用户权限。
- 基于角色限制数据访问。
参考链接(公告、解决方案和工具)
这里提供了一个精心策划的外部链接列表,提供与CVE-2025-58310相关的深入信息、实用解决方案和有价值的工具。
CWE - 常见缺陷枚举
虽然CVE标识了漏洞的具体实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-58310与以下CWE相关联:
CWE-843:使用不兼容类型访问资源(‘类型混淆’)
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了攻击者利用CVE-2025-58310弱点所采用的常见属性和方法。
漏洞时间线详情
漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收 由 psirt@huawei.com 于 2025年11月28日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 分布式组件中的权限控制漏洞。影响:成功利用此漏洞可能影响服务机密性。 | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H | |
| 添加 | CWE | CWE-843 | |
| 添加 | 参考 | https://consumer.huawei.com/en/support/bulletin/2025/11/ |
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:8
攻击向量:本地 攻击复杂度:低 所需权限:无 用户交互:无 范围:未更改 机密性影响:高 完整性影响:低 可用性影响:高