概述
CVE-2025-60801是一个影响jshERP系统的未授权远程代码执行(RCE)漏洞,CVSS 3.1评分为8.2(高危)。
漏洞描述
jshERP在提交版本fbda24da之前存在一个未授权远程代码执行漏洞,攻击者可通过jsh_erp函数利用此漏洞。
漏洞时间线
- 发布日期:2025年10月24日 16:26
- 最后修改:2025年10月24日 16:26
- 远程利用:是
- 信息来源:cve@mitre.org
受影响产品
目前尚未记录具体的受影响产品版本信息。
CVSS评分
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.2 | CVSS 3.1 | 高危 | 3.9 | 4.2 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 更新jshERP到最新版本以修复RCE漏洞
- 应用针对提交fbda24da的补丁
参考资源
| URL | 资源描述 |
|---|---|
| https://fushuling.com/index.php/2025/08/17/绕过补丁,再次实现华天软件ERP未授权RCE已修复/ | 漏洞分析文章 |
CWE分类
- CWE-77:命令中使用的特殊元素的不当中和(命令注入)
CAPEC攻击模式
- CAPEC-15:命令分隔符
- CAPEC-40:操纵可写终端设备
- CAPEC-43:利用多个输入解释层
- CAPEC-75:操纵可写配置文件
- CAPEC-76:操纵Web输入到文件系统调用
- CAPEC-136:LDAP注入
- CAPEC-183:IMAP/SMTP命令注入
- CAPEC-248:命令注入
漏洞历史记录
| 日期 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年10月24日 | 新增 | 描述 | jshERP up to commit fbda24da was discovered to contain an unauthenticated remote code execution (RCE) vulnerability via the jsh_erp function. | |
| 2025年10月24日 | 新增 | 参考 | https://fushuling.com/index.php/2025/08/17/绕过补丁,再次实现华天软件ERP未授权RCE已修复/ |
| 2025年10月24日 | 修改 | CVSS V3.1 | | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N | | 2025年10月24日 | 修改 | CWE | | CWE-77 |