CVE-2025-9127漏洞分析：PX Enterprise因不当数据清理导致信息泄露

CVE-2025-9127 - PX Enterprise 不当数据清理漏洞

概述

一个编号为CVE-2025-9127的漏洞存在于PX Enterprise产品中。该漏洞涉及不当的输出编码或转义（CWE-116），在特定条件下可能导致敏感信息被记录到日志中。

漏洞时间线

描述

PX Enterprise中存在一个漏洞，在特定条件下，敏感信息可能被记录到日志中。

信息

发布日期： 2025年12月4日 18:15 最后修改日期： 2025年12月4日 18:15 远程可利用： 否 来源： psirt@purestorage.com

受影响产品

以下产品受到CVE-2025-9127漏洞的影响。即使cvefeed.io知道受影响产品的确切版本，该信息也未在下表中表示。尚无受影响产品记录：受影响供应商总数：0 | 产品：0

CVSS评分

通用漏洞评分系统（CVSS）是用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。

分数	版本	严重性	向量	可利用性分数	影响分数	来源
8.4	CVSS 4.0	高				3895c224-4e1d-482a-adb3-fa64795683ac
8.4	CVSS 4.0	高				psirt@purestorage.com

解决方案

处理敏感信息记录以防止暴露。

审查日志配置，检查是否有敏感数据。
实施数据脱敏或匿名化。
限制对日志文件的访问。
在供应商补丁可用时应用。

公告、解决方案和工具参考

此处，您将找到精选的外部链接列表，这些链接提供了与CVE-2025-9127相关的深入信息、实用解决方案和有价值的工具。

URL	资源
https://support.purestorage.com/category/m_pure_storage_product_security

CWE - 通用缺陷枚举

CVE标识具体的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-9127与以下CWE关联：

CWE-116：不当的输出编码或转义

通用攻击模式枚举和分类 (CAPEC)

通用攻击模式枚举和分类 (CAPEC) 存储了攻击模式，这些模式描述了对手利用CVE-2025-9127弱点所采用的常见属性和方法。

CAPEC-73: 用户控制的文件名
CAPEC-81: Web服务器日志篡改
CAPEC-85: AJAX足迹
CAPEC-104: 跨域脚本

GitHub上的利用代码概念验证

我们扫描GitHub仓库以检测新的概念验证利用代码。以下列表是已在GitHub上发布的公共利用代码和概念验证集合（按最近更新排序）。由于潜在的性能问题，结果限制在前15个仓库。

漏洞历史记录

下表列出了对CVE-2025-9127漏洞所做的更改。漏洞历史记录详细信息可用于了解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

日期	操作	类型	新值
2025年12月4日	新增	描述	PX Enterprise中存在一个漏洞，在特定条件下，敏感信息可能被记录到日志中。
2025年12月4日	新增	CVSS V4.0	AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
2025年12月4日	新增	CWE	CWE-116
2025年12月4日	新增	参考	https://support.purestorage.com/category/m_pure_storage_product_security

漏洞利用预测评分系统 (EPSS)

EPSS是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。

信息泄露

漏洞评分详情

CVSS 4.0

基础CVSS分数：8.4

攻击向量	攻击复杂性	攻击要求	所需权限	用户交互	VS保密性	VS完整性	VS可用性	SS保密性	SS完整性	SS可用性
本地	低	无	低	无	高	无	无	高	高	高

攻击向量：网络、相邻、本地、物理 攻击复杂性：低、高 攻击要求：无、存在 所需权限：无、低、高 用户交互：无、被动、主动 VS保密性：高、低、无 VS完整性：高、低、无 VS可用性：高、低、无 SS保密性：高、低、无 SS完整性：高、低、无 SS可用性：高、低、无