概述
CVE-2025-12140是Simple SA公司开发的Wirtualna Uczelnia软件中的一个严重安全漏洞。该漏洞允许未经身份验证的攻击者远程执行任意代码,CVSS 4.0评分为9.3,属于高危级别。
漏洞描述
该应用程序包含一个不安全的 redirectToUrl 机制,该机制错误地处理 redirectUrlParameter 参数的值。应用程序将输入的字符串解释为Java表达式,从而使未经身份验证的攻击者能够执行任意代码。
此问题已在版本 wu#2016.1.5513#0#20251014_113353 中修复。
关键信息
- 发布日期: 2025年11月27日 14:15
- 最后修改日期: 2025年11月27日 14:15
- 可远程利用: 是
- 来源: cvd@cert.pl
受影响产品
目前尚未记录具体的受影响产品版本。总受影响供应商:0,产品:0。
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | 4bb8329e-dd38-46c1-aafb-9bf32bcb93c6 | |||
| 9.3 | CVSS 4.0 | 严重 | cvd@cert.pl |
CVSS 4.0 评分详情
- 基础 CVSS 分数: 9.3
解决方案
- 更新应用程序至版本
wu#2016.1.5513#0#20251014_113353。 - 验证并清理所有用户提供的URL参数。
- 避免将用户输入解释为可执行代码。
相关参考
| URL | 资源 |
|---|---|
| https://cert.pl/posts/2025/11/CVE-2025-12140/ | 安全公告 |
关联的CWE
- CWE-95: 动态评估代码中指令的不当中和(‘Eval注入’)
关联的CAPEC攻击模式
- CAPEC-35: 在不可执行文件中利用可执行代码
GitHub上的概念验证(PoC)利用代码
(结果限制为前15个仓库)
相关新闻报道
- 来源: cert.pl
- 标题: Vulnerability in Simple SA Wirtualna Uczelnia software
- 发布日期: 2025年11月27日(约20小时33分钟前) (结果限制为前20篇新闻文章)
漏洞时间线
- 2025年11月27日: CVE由 cvd@cert.pl 接收。
- 添加了漏洞描述。
- 添加了CVSS V4.0评分向量。
- 添加了CWE-95关联。
- 添加了安全公告参考链接。