概述
CVE-2025-6779是Axis ACAP配置文件中存在的命令注入漏洞,由于权限配置不当,可能造成权限提升风险。
漏洞描述
ACAP配置文件存在不当权限设置,可能允许命令注入并导致权限提升。此漏洞仅在Axis设备配置为允许安装未签名ACAP应用程序,且攻击者成功诱骗受害者安装恶意ACAP应用程序时才能被利用。
漏洞时间线
- 发布日期:2025年11月11日 上午7:15
- 最后修改:2025年11月11日 上午7:15
- 远程利用:否
- 来源:product-security@axis.com
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.7 | CVSS 3.1 | 中等 | - | 0.8 | 5.9 | product-security@axis.com |
解决方案
- 限制ACAP应用程序安装仅限签名包
- 审查并强化ACAP配置文件权限
- 从ACAP配置中移除不必要的权限
相关参考
CWE关联
- CWE-732:关键资源权限分配错误
CAPEC攻击模式
- CAPEC-1:访问ACL未正确约束的功能
- CAPEC-17:使用恶意文件
- CAPEC-60:重用会话ID
- CAPEC-61:会话固定
- CAPEC-62:跨站请求伪造
- CAPEC-122:权限滥用
- CAPEC-127:目录索引
- CAPEC-180:利用错误配置的访问控制安全级别
- CAPEC-206:签名恶意代码
- CAPEC-234:劫持特权进程
- CAPEC-642:替换二进制文件
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | ACAP配置文件存在不当权限设置,可能允许命令注入并导致权限提升… |
| 添加 | CVSS V3.1 | - | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 添加 | CWE | - | CWE-732 |
| 添加 | 参考 | - | https://www.axis.com/dam/public/92/9a/13/cve-2025-6779pdf-en-US-504217.pdf |
漏洞评分详情
CVSS 3.1基础评分:6.7
攻击向量:本地 攻击复杂度:低 所需权限:高 用户交互:无 范围:未改变 机密性影响:高 完整性影响:高 可用性影响:高