概述
CVE-2025-4645 - Axis ACAP代码执行漏洞
漏洞描述
ACAP配置文件缺乏足够的输入验证,可能导致任意代码执行。此漏洞仅在Axis设备配置为允许安装未签名ACAP应用程序,且攻击者成功诱骗受害者安装恶意ACAP应用程序时才能被利用。
漏洞时间线
- 发布日期:2025年11月11日 07:15
- 最后修改:2025年11月11日 07:15
漏洞详情
基本信息
- 远程利用:否
- 信息来源:product-security@axis.com
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
评分详情
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.7 | CVSS 3.1 | 中等 | - | 0.8 | 5.9 | product-security@axis.com |
解决方案
安全加固措施
- 禁用未签名应用程序安装
- 验证所有ACAP配置文件
- 应用供应商提供的输入验证补丁
- 限制应用程序安装权限
相关资源
咨询文档链接
弱点枚举(CWE)
CWE-1287:指定输入类型验证不当
攻击模式分类(CAPEC)
常见攻击模式枚举和分类存储了攻击者利用CVE-2025-4645弱点的常用属性和方法描述。
漏洞历史记录
| 时间 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月11日 | 新增 | 描述 | - | ACAP配置文件缺乏足够输入验证,可能导致任意代码执行… |
| 2025年11月11日 | 新增 | CVSS V3.1 | - | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| 2025年11月11日 | 新增 | CWE | - | CWE-1287 |
| 2025年11月11日 | 新增 | 参考链接 | - | Axis官方PDF文档链接 |
CVSS 3.1基础评分详情
基础CVSS分数:6.7
评分维度
- 攻击向量:本地
- 攻击复杂度:低
- 所需权限:高
- 用户交互:无
- 范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高