CVE-2025-8998 - Apache HTTP服务器文件上传漏洞
概述
漏洞描述
通过认证的操作员或管理员权限服务账户,攻击者可以向临时目录上传特定名称的文件,这可能导致进程崩溃并影响系统可用性。
基本信息
发布日期:2025年11月11日 上午8:15
最后修改:2025年11月11日 上午8:15
远程利用:是
来源:product-security@axis.com
CVSS评分
评分详情
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 3.1 | CVSS 3.1 | 低 | - | 1.6 | 1.4 | product-security@axis.com |
| 3.1 | CVSS 3.1 | 低 | - | 1.6 | 1.4 | MITRE-CVE |
受影响产品
目前尚未记录受影响的产品 总受影响供应商:0 | 产品:0
解决方案
- 应用供应商补丁来限制文件上传
- 仔细验证上传的文件名
- 确保实施适当的访问控制
参考资源
URL: https://www.axis.com/dam/public/f5/62/80/cve-2025-8998pdf-en-US-504374.pdf
CWE - 常见弱点枚举
CWE-73: 外部控制文件名或路径
常见攻击模式枚举和分类(CAPEC)
- CAPEC-13: 颠覆环境变量值
- CAPEC-64: 使用斜杠和URL编码组合绕过验证逻辑
- CAPEC-72: URL编码
- CAPEC-76: 操纵Web输入到文件系统调用
- CAPEC-78: 在替代编码中使用转义斜杠
- CAPEC-79: 在替代编码中使用斜杠
- CAPEC-80: 使用UTF-8编码绕过验证逻辑
- CAPEC-267: 利用替代编码
漏洞历史记录
新CVE接收:由product-security@axis.com于2025年11月11日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | 通过认证的操作员或管理员权限服务账户,攻击者可以向临时目录上传特定名称的文件,这可能导致进程崩溃并影响系统可用性 |
| 添加 | CVSS V3.1 | - | AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L |
| 添加 | CWE | - | CWE-73 |
| 添加 | 参考 | - | https://www.axis.com/dam/public/f5/62/80/cve-2025-8998pdf-en-US-504374.pdf |
漏洞评分详情
CVSS 3.1基础分数: 3.1
攻击向量:网络
攻击复杂度:高
所需权限:低
用户交互:无
范围:未改变
机密性影响:无
完整性影响:无
可用性影响:低