CVE-2025-52622 - HCL BigFix SaaS Remediate 受安全漏洞影响
概述
CVE-2025-52622是一个影响HCL BigFix SaaS Remediate的安全漏洞。
描述
BigFix SaaS的HTTP响应中缺失了一些安全头部。这些头部的缺失削弱了应用程序的客户端安全态势,使其更容易受到这些头部设计用来缓解的常见Web攻击,例如跨站脚本(XSS)、点击劫持和协议降级攻击。
信息
- 发布日期:2025年12月2日,下午6:15
- 最后修改日期:2025年12月2日,下午6:15
- 可远程利用:是!
- 来源:psirt@hcl.com
受影响产品
- 以下产品受CVE-2025-52622漏洞影响。
- 即使cvefeed.io知晓受影响产品的确切版本,该信息也未在下表中体现。
- 尚无受影响产品记录
总受影响供应商:0 | 产品:0
CVSS 评分
通用漏洞评分系统(CVSS)是用于评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.4 | CVSS 3.1 | 中 | 1e47fe04-f25f-42fa-b674-36de2c5e3cfc | |||
| 5.4 | CVSS 3.1 | 中 | 2.8 | 2.5 | psirt@hcl.com |
解决方案
配置BigFix SaaS以在HTTP响应中包含必要的安全头部。
- 在HTTP响应中实施安全头部。
- 查阅BigFix SaaS文档进行配置。
- 测试头部是否被正确实施。
- 验证Web攻击向量的缓解情况。
参考(公告、解决方案和工具)
这里提供了一个精选的外部链接列表,提供与CVE-2025-52622相关的深入信息、实用解决方案和有价值的工具。
CWE - 常见弱点枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-52622与以下CWE相关联:
- CWE-1188:使用不安全默认值初始化资源
常见攻击模式枚举和分类
常见攻击模式枚举和分类存储攻击模式,这些模式描述了对手利用CVE-2025-52622弱点所采用的常见属性和方法。
- CAPEC-665:利用Thunderbolt保护缺陷
GitHub上的公开利用/PoC
我们扫描GitHub仓库以检测新的概念验证利用。以下列表是在GitHub上发布的公开利用和概念验证的集合(按最近更新排序)。 由于潜在的性能问题,结果限制在前15个仓库。
相关新闻
以下列表是文章中任何地方提及CVE-2025-52622漏洞的新闻。 由于潜在的性能问题,结果限制在前20篇新闻文章。
漏洞时间线
以下表格列出了对CVE-2025-52622漏洞随时间所做的更改。 漏洞历史详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收 来自 psirt@hcl.com, 2025年12月02日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | The BigFix SaaS‘s HTTP responses were missing some security headers… | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | |
| 添加 | CWE | CWE-1188 | |
| 添加 | 参考 | https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0127171 |
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:5.4
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 作用范围:未更改
- 机密性影响:低
- 完整性影响:低
- 可用性影响:无