概述
CVE-2025-13160是IQ Service International开发的IQ-Support系统中存在的一个敏感信息泄露漏洞,允许未经认证的远程攻击者访问特定API来获取内部网络的敏感信息。
漏洞详情
漏洞描述
IQ-Support系统存在敏感信息泄露漏洞,未经认证的远程攻击者能够访问特定API,从内部网络获取敏感信息。
基本信息
- 发布日期:2025年11月14日 04:15
- 最后修改:2025年11月14日 04:15
- 远程利用:是
- 信息来源:twcert@cert.org.tw
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 受影响产品总数:0
CVSS评分
评分详情
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.3 | CVSS 3.1 | 中危 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | 3.9 | 1.4 | twcert@cert.org.tw |
| 5.3 | CVSS 3.1 | 中危 | MITRE-CVE | |||
| 6.9 | CVSS 4.0 | 中危 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | twcert@cert.org.tw |
解决方案
- 限制API访问,仅允许认证用户访问
- 验证所有输入数据
- 为API访问实施强身份验证
- 验证所有传入的API请求
- 限制API暴露的数据
- 及时应用安全补丁
相关参考
咨询和解决方案链接
- https://www.twcert.org.tw/en/cp-139-10502-11c6d-2.html
- https://www.twcert.org.tw/tw/cp-132-10501-a25a6-1.html
弱点分类
CWE关联
- CWE-497:将敏感系统信息暴露给未授权的控制领域
CAPEC攻击模式
- CAPEC-170:Web应用指纹识别
- CAPEC-694:系统位置发现
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | IQ-Support系统存在敏感信息泄露漏洞… | |
| 新增 | CVSS 4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 新增 | CVSS 3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | |
| 新增 | CWE | CWE-497 | |
| 新增 | 参考链接 | https://www.twcert.org.tw/en/cp-139-10502-11c6d-2.html | |
| 新增 | 参考链接 | https://www.twcert.org.tw/tw/cp-132-10501-a25a6-1.html |
时间:2025年11月14日,由twcert@cert.org.tw接收新CVE