概述
CVE-2025-8108是一个Axis ACAP权限提升漏洞,CVSS 3.1评分为6.7(中危)。
漏洞描述
ACAP配置文件存在权限设置不当和缺乏输入验证的问题,可能导致权限提升。此漏洞仅在Axis设备配置为允许安装未签名ACAP应用程序,且攻击者诱骗受害者安装恶意ACAP应用程序时才能被利用。
时间线
- 发布日期:2025年11月11日 07:15
- 最后修改:2025年11月11日 07:15
- 远程利用:否
- 来源:product-security@axis.com
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.7 | CVSS 3.1 | 中危 | f2daf9a0-02c2-4b83-a01d-63b3b304b807 | |||
| 6.7 | CVSS 3.1 | 中危 | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | 0.8 | 5.9 | product-security@axis.com |
解决方案
- 限制未签名应用程序安装
- 验证ACAP配置的输入
- 配置ACAP以防止未签名应用程序安装
- 验证ACAP配置文件的所有输入
- 如果不安全,移除ACAP配置
- 更新设备固件
参考信息
CWE关联
- CWE-732:关键资源权限分配不正确
- CWE-1287:指定输入类型验证不当
CAPEC攻击模式
- CAPEC-1:访问ACL未正确约束的功能
- CAPEC-17:使用恶意文件
- CAPEC-60:重用会话ID
- CAPEC-61:会话固定
- CAPEC-62:跨站请求伪造
- CAPEC-122:权限滥用
- CAPEC-127:目录索引
- CAPEC-180:利用错误配置的访问控制安全级别
- CAPEC-206:签名恶意代码
- CAPEC-234:劫持特权进程
- CAPEC-642:替换二进制文件
漏洞历史
2025年11月11日:收到来自product-security@axis.com的新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | ACAP配置文件权限不当和缺乏输入验证可能导致权限提升 | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-732 | |
| 添加 | CWE | CWE-1287 | |
| 添加 | 参考 | https://www.axis.com/dam/public/38/20/aa/cve-2025-8108pdf-en-US-504218.pdf |