概述
CVE-2025-65952 是一个被评定为 高危(8.7,CVSS 4.0) 的安全漏洞。该漏洞存在于名为“Console”的网络中,该网络用于控制Gorilla Tag模组用户及其他网络用户。漏洞的核心是**路径遍历(Path Traversal)**问题。
漏洞描述
Console是一个用于管理Gorilla Tag游戏模组用户及其他网络用户的网络。在2.8.0之前的版本中,存在一个路径遍历漏洞。攻击者可以通过构造复杂的反斜杠(\)和句点(.)组合,来突破Gorilla Tag的预期路径限制,从而将文件写入到非预期的目录中。此问题已在版本2.8.0中得到修复。
关键信息:
- 发布日期: 2025年11月25日
- 最后修改日期: 2025年11月25日
- 可远程利用: 是
- 信息来源: security-advisories@github.com
受影响产品
目前cvefeed.io尚未记录具体的受影响产品信息。
- 受影响的供应商总数:0
- 产品数量:0
CVSS评分
评分:8.7 (CVSS 4.0)
- 严重等级: 高 (HIGH)
- 评分来源: security-advisories@github.com
解决方案
修复该漏洞的建议措施如下:
- 更新Gorilla Tag至版本2.8.0或更高版本。
- 确保文件系统访问权限受到严格限制。
- 审查涉及文件操作的输入验证和净化逻辑。
参考与资源
以下链接提供了关于此漏洞的详细信息、解决方案和工具:
相关CWE与CAPEC
相关通用缺陷枚举(CWE):
- CWE-22: 路径名限制不当导致路径遍历
相关通用攻击模式枚举与分类(CAPEC):
- CAPEC-64: 使用斜杠和URL编码组合绕过验证逻辑
- CAPEC-76: 操纵Web输入至文件系统调用
- CAPEC-78: 在替代编码中使用转义斜杠
- CAPEC-79: 在替代编码中使用斜杠
- CAPEC-126: 路径遍历
漏洞历史记录
该漏洞于2025年11月25日由 security-advisories@github.com 提交为新的CVE记录,并同时添加了描述、CVSS v4.0评分、CWE分类及相关的参考链接。
漏洞评分详情(CVSS 4.0)
基础CVSS评分:8.7
度量指标:
- 攻击向量(AV): 网络(Network)
- 攻击复杂度(AC): 低(Low)
- 攻击前提(AT): 无(None)
- 所需权限(PR): 无(None)
- 用户交互(UI): 无(None)
- 漏洞对保密性的影响(VC): 无(None)
- 漏洞对完整性的影响(VI): 高(High)
- 漏洞对可用性的影响(VA): 无(None)
- 后续安全范畴的保密性影响(SC): 无(None)
- 后续安全范畴的完整性影响(SI): 无(None)
- 后续安全范畴的可用性影响(SA): 无(None)