CVE-2025-5454 - Axis ACAP路径遍历权限提升漏洞
概述
漏洞描述
ACAP配置文件缺乏足够的输入验证,可能导致路径遍历攻击,进而引发权限提升风险。此漏洞仅在Axis设备配置为允许安装未签名ACAP应用程序,且攻击者诱骗受害者安装恶意ACAP应用程序时才能被利用。
基本信息
发布日期:2025年11月11日 07:15
最后修改:2025年11月11日 07:15
远程利用:否
来源:product-security@axis.com
受影响产品
目前尚未记录受影响的具体产品
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.4 | CVSS 3.1 | 中等 | AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H | 0.5 | 5.9 | product-security@axis.com |
解决方案
- 配置Axis设备禁止未签名的ACAP应用程序
- 彻底验证ACAP应用程序的所有输入
- 更新ACAP应用程序以实施严格的路径验证
相关参考资料
URL: https://www.axis.com/dam/public/48/ab/82/cve-2025-5454pdf-en-US-504213.pdf
CWE常见弱点枚举
CWE-35: 路径遍历:’…/…//'
漏洞历史记录
新CVE接收:来自product-security@axis.com(2025年11月11日)
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | ACAP配置文件缺乏足够的输入验证,可能导致路径遍历攻击,进而引发权限提升风险。此漏洞仅在Axis设备配置为允许安装未签名ACAP应用程序,且攻击者诱骗受害者安装恶意ACAP应用程序时才能被利用。 | |
| 添加 | CVSS V3.1 | AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-35 | |
| 添加 | 参考资料 | https://www.axis.com/dam/public/48/ab/82/cve-2025-5454pdf-en-US-504213.pdf |