概述
CVE-2025-6571是一个中等严重程度的漏洞,涉及Apache第三方组件在进程参数中暴露密码的问题。
漏洞描述
一个第三方组件在其进程参数中暴露了密码,允许低权限用户访问该密码。
基本信息
- 发布日期:2025年11月11日 上午7:15
- 最后修改:2025年11月11日 上午7:15
- 远程利用:否
- 信息来源:product-security@axis.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品数量:0
CVSS评分
CVSS 3.1评分
- 评分:6.0
- 严重程度:中等
- 向量:AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:L
- 可利用性评分:0.5
- 影响评分:5.5
- 评分来源:product-security@axis.com
解决方案
- 更新第三方组件以防止密码在进程参数中暴露
- 审查组件配置,确保敏感数据处理安全
- 从进程参数中移除暴露的凭据
相关参考
安全公告链接:
CWE关联
CWE-522:凭据保护不足
CAPEC攻击模式
与CVE-2025-6571弱点相关的常见攻击模式包括:
- CAPEC-50:密码恢复利用
- CAPEC-102:会话劫持
- CAPEC-474:通过密钥窃取进行签名欺骗
- CAPEC-509:Kerberoasting攻击
- CAPEC-551:修改现有服务
- CAPEC-555:使用被盗凭据的远程服务
- CAPEC-560:使用已知域凭据
- CAPEC-561:使用被盗凭据访问Windows管理共享
- CAPEC-600:凭据填充
- CAPEC-644:使用捕获的哈希(传递哈希)
- CAPEC-645:使用捕获的票据(传递票据)
- CAPEC-652:使用已知Kerberos凭据
- CAPEC-653:使用已知操作系统凭据
漏洞时间线
2025年11月11日:
- 新增漏洞描述
- 添加CVSS v3.1评分
- 添加CWE-522分类
- 添加参考链接
信息泄露风险
该漏洞主要涉及信息泄露风险,攻击者可能通过获取暴露的密码凭证进一步危害系统安全。