CVE-2025-13828 - Mautic 中无特权访问市场的用户可以安装和卸载 Composer 软件包
概述
描述
摘要 即使在更新设置中禁用了基于 Composer 更新的标志,非特权用户仍可通过 Composer 为基于 Composer 的安装安装和删除任意软件包。
影响 该平台的低权限用户可以安装恶意代码以获取更高权限。
基本信息
发布日期: 2025年12月2日 下午5:16 最后修改: 2025年12月2日 下午5:16 可远程利用: 是 来源: security@mautic.org
受影响产品
以下产品受 CVE-2025-13828 漏洞影响。即使 cvefeed.io 知晓受影响产品的确切版本,下表也未显示此信息。 暂无受影响产品记录
CVSS 分数
通用漏洞评分系统是用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并显示每个 CVE 来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9 | CVSS 4.0 | CRITICAL | 4e531c38-7a33-45d3-98dd-d909c0d8852e | |||
| 9.0 | CVSS 4.0 | CRITICAL | security@mautic.org |
解决方案
限制非特权用户的 Composer 软件包管理以防止代码注入。
- 为软件包管理强制执行严格的基于角色的访问控制。
- 为非特权用户禁用 Composer 软件包安装。
- 审查和审计所有软件包安装权限。
- 实施软件包使用的安全策略。
参考链接
CWE - 通用缺陷枚举
CVE-2025-13828 与以下 CWE 相关联: CWE-862: 授权缺失
通用攻击模式枚举和分类 (CAPEC)
CAPEC-665: 利用 Thunderbolt 保护缺陷
漏洞历史记录
下表列出了 CVE-2025-13828 漏洞随时间发生的变化。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新 CVE 接收 来源:security@mautic.org 日期:2025年12月02日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | 摘要:即使在更新设置中禁用了基于 Composer 更新的标志,非特权用户仍可通过 Composer 为基于 Composer 的安装安装和删除任意软件包。 影响:该平台的低权限用户可以安装恶意代码以获取更高权限。 | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-862 | |
| 添加 | 参考 | https://github.com/mautic/mautic/security/advisories/GHSA-3fq7-c5m8-g86x |
漏洞评分详情
CVSS 4.0 基础 CVSS 分数:9
| 攻击向量 | 攻击复杂度 | 攻击前提 | 所需权限 | 用户交互 | 子系统机密性影响 | 子系统完整性影响 | 子系统可用性影响 | 后继系统机密性影响 | 后继系统完整性影响 | 后继系统可用性影响 |
|---|---|---|---|---|---|---|---|---|---|---|
| 网络 | 低 | 存在 | 低 | 无 | 高 | 高 | 高 | 高 | 高 | 高 |