漏洞详情

包管理器: Composer 受影响组件: alexusmai/laravel-file-manager 受影响版本: <= 3.3.1 已修复版本: 无

漏洞描述

alexusmai/laravel-file-manager 3.3.1及以下版本存在目录遍历漏洞。该组件的解压/提取功能由于对提取路径的验证不足，允许将压缩包内容写入文件系统的任意位置。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-65346
• https://github.com/Theethat-Thamwasin/CVE-2025-65346
• https://github.com/alexusmai/laravel-file-manager
• https://github.com/Theethat-Thamwasin/CVE-2025-65346/blob/main/POC-CVE-65346.md

发布时间线

• 国家漏洞数据库发布: 2025年12月4日
• GitHub咨询数据库发布: 2025年12月4日
• 审核时间: 2025年12月5日
• 最后更新: 2025年12月5日

严重性等级

高危 | CVSS总体评分: 7.7/10

CVSS v4 基础指标

可利用性指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 无
• 所需权限: 无
• 用户交互: 无

受影响系统影响指标:

• 机密性: 无影响
• 完整性: 高影响
• 可用性: 无影响

后续系统影响指标:

• 机密性: 无影响
• 完整性: 无影响
• 可用性: 无影响

CVSS向量表示: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P

EPSS 分数

0.328% (第55百分位)

此分数估计了该漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点分析

弱点标识: CWE-22 弱点名称: 对路径名到受限目录的限制不当（路径遍历） 描述: 产品使用外部输入来构建旨在标识位于受限父目录下的文件或目录的路径名，但产品未能正确中和路径名中可能导致路径名解析到受限目录之外位置的特殊元素。

标识符

• CVE ID: CVE-2025-65346
• GHSA ID: GHSA-q5hg-wppq-r2cc
• 源代码仓库: alexusmai/laravel-file-manager