CVE-2025-13609:GitHub 安全公告
漏洞详情
在 Keylime 中发现了一个漏洞。攻击者可以通过使用不同的可信平台模块设备注册新代理,但声明现有代理的唯一标识符来利用此缺陷。此操作会覆盖合法代理的身份,使攻击者能够冒充被入侵的代理,并可能绕过安全控制。
受影响版本
- 受影响版本:< 7.13.0
- 已修复版本:7.13.0
参考信息
- https://nvd.nist.gov/vuln/detail/CVE-2025-13609
- https://access.redhat.com/security/cve/CVE-2025-13609
- https://bugzilla.redhat.com/show_bug.cgi?id=2416761
- keylime/keylime#1785
- keylime/keylime@e1ae8de
- https://github.com/keylime/keylime/releases/tag/v7.13.0
严重性
- 严重等级:高
- CVSS 总体评分:8.2 / 10
CVSS v3 基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:高
- 用户交互:无
- 影响范围:已更改
- 机密性影响:低
- 完整性影响:高
- 可用性影响:低
CVSS 向量字符串:CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:L
EPSS 评分
- EPSS 评分:0.038% (第 11 百分位) 此分数估计了该漏洞在未来 30 天内被利用的概率。数据由 FIRST 提供。
缺陷
- 弱点:CWE-694
- 描述:使用了多个可能具有相同标识符的资源,而在该上下文中需要唯一标识符。