CVE-2025-54160 - BeeDrive 路径遍历与任意代码执行
概述
CVE-2025-54160 是 Synology BeeDrive 桌面客户端中存在的一个安全漏洞。该漏洞在版本 1.4.2-13960 之前存在,CVSS 3.1 评分为 7.8(高危)。
漏洞描述
Synology BeeDrive 桌面客户端在版本 1.4.2-13960 之前存在不当限制路径名至受限目录(“路径遍历”)的漏洞。此漏洞允许本地用户通过未指定的向量执行任意代码。
关键信息
- 发布日期:2025年12月4日 下午4:16
- 最后修改日期:2025年12月4日 下午5:15
- 远程利用:否
- 信息来源:security@synology.com
受影响产品
目前未记录具体的受影响产品信息。 总受影响供应商:0 | 产品:0
CVSS 评分详情
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.8 | CVSS 3.1 | 高危 | db201096-a0cc-46c7-9a55-61d9e221bf01 | |||
| 7.8 | CVSS 3.1 | 高危 | 1.8 | 5.9 | security@synology.com | |
| 7.8 | CVSS 3.1 | 高危 | 1.8 | 5.9 | MITRE-CVE |
CVSS 3.1 基础评分向量:AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (攻击向量:本地;攻击复杂度:低;所需权限:低;用户交互:无;范围:未改变;机密性影响:高;完整性影响:高;可用性影响:高)
解决方案
为修复此路径遍历和代码执行漏洞,请执行以下操作:
- 将 BeeDrive 更新至版本 1.4.2-13960 或更高版本。
- 立即应用供应商提供的补丁。
- 更新后验证系统完整性。
参考与资源
- Synology 安全公告:
https://www.synology.com/en-global/security/advisory/Synology_SA_25_08
相关弱点与攻击模式
常见弱点枚举 (CWE)
- CWE-22:对路径名到受限目录的限制不当(“路径遍历”)
常见攻击模式枚举与分类 (CAPEC)
以下是与 CVE-2025-54160 弱点相关的攻击模式:
- CAPEC-64:结合使用斜杠和URL编码来绕过验证逻辑
- CAPEC-76:操纵Web输入至文件系统调用
- CAPEC-78:在替代编码中使用转义斜杠
- CAPEC-79:在替代编码中使用斜杠
- CAPEC-126:路径遍历
漏洞历史时间线
| 日期 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年12月4日 | 新增漏洞 | 描述 | Synology BeeDrive 桌面客户端在版本 1.4.2-13960 之前存在不当限制路径名至受限目录(“路径遍历”)的漏洞,允许本地用户通过未指定的向量执行任意代码。 | |
| CVSS V3.1 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | |||
| CWE | CWE-22 | |||
| 参考 | https://www.synology.com/en-global/security/advisory/Synology_SA_25_08 |