CVE-2025-10714 - AXIS Optimizer Windows未加引号搜索路径权限提升
概述
AXIS Optimizer 存在一个未加引号搜索路径漏洞,可能致使在 Microsoft Windows 操作系统内发生权限提升。仅当攻击者能够访问本地 Windows 机器并拥有足够的访问权限(管理员)向 AXIS Optimizer 的安装路径写入数据时,此漏洞才能被利用。
信息
- 发布日期:2025年11月11日 上午8:15
- 最后修改日期:2025年11月11日 上午8:15
- 可远程利用:否
- 来源:product-security@axis.com
受影响产品
以下产品受到 CVE-2025-10714 漏洞的影响。即使 cvefeed.io 知晓受影响产品的确切版本,相关信息也未在下表中体现。
暂无记录到受影响的产品
总计受影响供应商:0 | 产品:0
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并展示每个 CVE 来自不同来源的 CVSS 评分。
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.4 | CVSS 3.1 | 高 | f2daf9a0-02c2-4b83-a01d-63b3b304b807 | |||
| 8.4 | CVSS 3.1 | 高 | 2.0 | 5.8 | product-security@axis.com | |
| 8.4 | CVSS 3.1 | 高 | 2 | 5.8 | MITRE-CVE |
解决方案
通过正确引用安装路径来修复未加引号搜索路径漏洞。
- 确保安装路径被引号括起。
- 应用供应商提供的可用更新。
- 限制对安装目录的写入权限。
参考链接
这里,您可以找到精心挑选的外部链接列表,这些链接提供与 CVE-2025-10714 相关的深入信息、实用解决方案和宝贵工具。
CWE - 通用缺陷枚举
虽然 CVE 标识漏洞的具体实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-10714 与以下 CWE 相关联:
CWE-428:未加引号的搜索路径或元素
通用攻击模式枚举和分类
通用攻击模式枚举和分类存储攻击模式,这些模式描述了攻击者利用 CVE-2025-10714 弱点所采用的常见属性和方法。
我们扫描 GitHub 仓库以检测新的概念验证漏洞利用程序。以下列表是已发布在 GitHub 上的公共漏洞利用程序和概念验证的集合(按最近更新排序)。
由于可能存在性能问题,结果限制在前 15 个仓库。
漏洞历史记录
下表列出了 CVE-2025-10714 漏洞随时间所做的更改。
漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
- 新 CVE 接收,来自 product-security@axis.com,2025年11月11日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | AXIS Optimizer 存在一个未加引号搜索路径漏洞,可能致使在 Microsoft Windows 操作系统内发生权限提升。仅当攻击者能够访问本地 Windows 机器并拥有足够的访问权限(管理员)向 AXIS Optimizer 的安装路径写入数据时,此漏洞才能被利用。 | |
| 添加 | CVSS V3.1 | AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H | |
| 添加 | CWE | CWE-428 | |
| 添加 | 参考 | https://www.axis.com/dam/public/a2/c7/8c/cve-2025-10714pdf-en-US-504221.pdf |
EPSS 评分
EPSS 是对未来 30 天内观察到利用活动概率的每日估计。下图显示了该漏洞的 EPSS 评分历史记录。
(此处应有EPSS图表,但原文无具体图表数据)
错误配置
漏洞评分详情
CVSS 3.1
- 基础 CVSS 评分:8.4
- 攻击向量:本地
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 作用域:已更改
- 机密性影响:无
- 完整性影响:高
- 可用性影响:高