CVE-2025-5718 - Axis ACAP符号链接权限提升
概述
漏洞描述
ACAP应用框架可能允许通过符号链接攻击实现权限提升。此漏洞仅在Axis设备配置为允许安装未签名ACAP应用,且攻击者说服受害者安装恶意ACAP应用时才能被利用。
漏洞时间线
- 发布日期:2025年11月11日 上午7:15
- 最后修改:2025年11月11日 上午7:15
- 远程利用:是
- 来源:product-security@axis.com
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.8 | CVSS 3.1 | 中等 | - | - | - | f2daf9a0-02c2-4b83-a01d-63b3b304b807 |
| 6.8 | CVSS 3.1 | 中等 | - | 0.9 | 5.9 | product-security@axis.com |
解决方案
通过禁用未签名ACAP应用安装来防止权限提升:
- 禁用未签名ACAP应用的安装
- 审查并限制ACAP应用权限
- 实施更严格的应用审查
参考资源
CWE - 常见弱点枚举
CWE-59: 文件访问前链接解析不当(‘链接跟随’)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-17: 使用恶意文件
- CAPEC-35: 在非可执行文件中利用可执行代码
- CAPEC-76: 操纵Web输入到文件系统调用
- CAPEC-132: 符号链接攻击
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | ACAP应用框架可能允许通过符号链接攻击实现权限提升… |
| 新增 | CVSS V3.1 | - | AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H |
| 新增 | CWE | - | CWE-59 |
| 新增 | 参考 | - | https://www.axis.com/dam/public/3c/a4/6a/cve-2025-5718pdf-en-US-504214.pdf |
CVSS 3.1评分详情
基础CVSS分数:6.8
攻击向量:网络 攻击复杂度:低 所需权限:高 用户交互:需要 范围:未改变 机密性影响:高 完整性影响:高 可用性影响:高