CVE-2025-13828 - Mautic非特权用户可在无Marketplace访问权限的情况下安装和卸载Composer包
概述
CVE-2025-13828是一个影响Mautic的严重安全漏洞,其CVSS 4.0评分为9.0(CRITICAL)。
漏洞描述
摘要 即使基于Composer的更新设置中的启用标志未被勾选,非特权用户也可以通过Composer为基于Composer的安装安装和移除任意包。
影响 平台的低权限用户可以安装恶意代码以获得更高的权限。
漏洞详情
- 发布日期:2025年12月2日 17:16
- 最后修改日期:2025年12月2日 17:16
- 远程可利用:是
- 信息来源:security@mautic.org
受影响产品
以下产品受到CVE-2025-13828漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本,下表中也未体现该信息。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Acquia | mautic |
总计受影响厂商:1 | 产品:1
CVSS评分
通用漏洞评分系统是一个用于评估软件和系统漏洞严重程度的标准化框架。我们为每个CVE收集并展示来自不同来源的CVSS评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9 | CVSS 4.0 | CRITICAL | 4e531c38-7a33-45d3-98dd-d909c0d8852e | |||
| 9.0 | CVSS 4.0 | CRITICAL | security@mautic.org |
解决方案
限制非特权用户的composer包管理以防止代码注入。
- 为包管理强制执行严格的基于角色的访问控制。
- 为非特权用户禁用composer包安装功能。
- 审查并审计所有包安装权限。
- 实施包使用的安全策略。
参考链接(公告、解决方案和工具)
此处提供了一个精心策划的外部链接列表,提供与CVE-2025-13828相关的深入信息、实用解决方案和宝贵工具。
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-13828与以下CWE相关:
- CWE-862: 缺失授权
常见攻击模式枚举和分类
常见攻击模式枚举和分类存储攻击模式,这些模式描述了对手利用CVE-2025-13828弱点所采用的常见属性和方法。
- CAPEC-665: 利用Thunderbolt保护缺陷
我们扫描GitHub仓库以检测新的概念验证利用程序。以下列表是在GitHub上发布的公共利用程序和概念验证的集合(按最近更新排序)。 由于潜在的性能问题,结果限制在前15个仓库。
漏洞时间线详情
漏洞历史记录详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 时间 | 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| Dec. 02, 2025 | 新增CVE(由security@mautic.org接收) | |||
| 新增 | 描述 | 摘要 即使基于Composer的更新设置中的启用标志未被勾选,非特权用户也可以通过Composer为基于Composer的安装安装和移除任意包。 影响 平台的低权限用户可以安装恶意代码以获得更高的权限。 |
||
| 新增 | CVSS V4.0 | AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | ||
| 新增 | CWE | CWE-862 | ||
| 新增 | 参考链接 | https://github.com/mautic/mautic/security/advisories/GHSA-3fq7-c5m8-g86x |