CVE-2025-57213 - Apache Stratosphere 数据访问控制绕过漏洞
概述
CVE-2025-57213 是一个在 Apache Stratosphere 平台中发现的访问控制漏洞。
漏洞时间线
漏洞描述
平台 v1.0.0 版本中 orderService.queryObject 组件的访问控制机制存在缺陷,允许攻击者通过精心构造的请求访问敏感信息。
信息
- 发布日期:2025年12月4日,下午4:16
- 最后修改日期:2025年12月4日,下午5:15
- 可否远程利用:否
- 来源:cve@mitre.org
受影响产品
- 以下产品受到 CVE-2025-57213 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本,下表中也未包含相关信息。
- 尚无受影响产品记录
- 受影响厂商总数:0 | 产品数量:0
解决方案
修复访问控制机制,防止未经授权的信息访问。
- 验证并强制实施
queryObject的访问控制。 - 限制对敏感信息的访问。
- 审查组件权限。
- 实施最小权限原则。
相关公告、解决方案和工具参考链接
此处提供了一个精选的外部链接列表,提供了与 CVE-2025-57213 相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://gist.github.com/xueye0629/620e4e0cc0f23c903736971e6375f00e | |
| https://gitee.com/fuyang_lipengjun/platform |
CWE - 通用缺陷枚举
CVE 标识特定的漏洞实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-57213 与以下 CWE 相关联:
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式,这些模式描述了攻击者利用 CVE-2025-57213 弱点所采用的常见属性和方法。
GitHub 概念验证利用
我们扫描 GitHub 仓库以检测新的概念验证利用程序。以下列表是在 GitHub 上发布的公共漏洞利用和概念验证集合(按最近更新时间排序)。 由于潜在的(网页)性能问题,结果限制为前 15 个仓库。
相关新闻报道
以下列表列出了文章中提及 CVE-2025-57213 漏洞的新闻。 由于潜在的(网页)性能问题,结果限制为前 20 篇新闻文章。
漏洞历史记录
下表列出了 CVE-2025-57213 漏洞随时间发生的变化。 漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新 CVE 接收 来自 cve@mitre.org 2025年12月04日
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 平台 v1.0.0 版本中 orderService.queryObject 组件的访问控制机制存在缺陷,允许攻击者通过精心构造的请求访问敏感信息。 |
|
| 添加 | 参考 | https://gist.github.com/xueye0629/620e4e0cc0f23c903736971e6375f00e | |
| 添加 | 参考 | https://gitee.com/fuyang_lipengjun/platform |
EPSS 评分
EPSS 是对未来 30 天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的 EPSS 评分历史。
漏洞评分详情
暂无此漏洞的 CVSS 指标可用。