概述
CVE-2025-43515 - “Compressor远程代码执行漏洞”
漏洞描述
该问题通过默认拒绝外部连接得到解决。此问题已在Compressor 4.11.1中修复。与Compressor服务器处于同一网络下的未认证用户可能能够执行任意代码。
基本信息
- 发布日期: 2025年11月13日 晚上7:15
- 最后修改: 2025年11月14日 凌晨4:15
- 远程利用: 否
- 信息来源: product-security@apple.com
受影响产品
目前尚未记录受影响的特定产品
- 受影响供应商总数: 0
- 产品数量: 0
CVSS评分
评分: 8.8(高危)
- 版本: CVSS 3.1
- 严重性: HIGH
- 攻击向量: 2.8
- 影响分数: 5.9
- 来源: 134c704f-9b21-4f2e-91b3-4a467353bcc0
解决方案
- 更新Compressor至版本4.11.1或更高版本
- 配置服务器默认拒绝外部连接
相关参考
咨询、解决方案和工具链接:
| URL | 资源 |
|---|---|
| https://support.apple.com/en-us/125693 | Apple官方支持 |
| http://seclists.org/fulldisclosure/2025/Nov/17 | 完整披露邮件列表 |
CWE常见弱点枚举
CWE-284: 不恰当的访问控制
常见攻击模式枚举和分类(CAPEC)
与CVE-2025-43515弱点相关的攻击模式包括:
- CAPEC-19: 脚本中嵌入脚本
- CAPEC-441: 恶意逻辑插入
- CAPEC-478: Windows服务配置修改
- CAPEC-479: 恶意根证书
- CAPEC-502: 意图欺骗
- 以及其他多种相关攻击模式
漏洞时间线历史
2025年11月14日
2025年11月13日
- 添加CVSS V3.1评分: AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 添加CWE: CWE-284
- 新增CVE接收,包含漏洞描述和官方参考链接
错误配置分类
该漏洞被归类为错误配置相关问题。