概述
CVE-2025-60954是Microweber CMS 2.0中的一个弱密码要求漏洞。该应用程序在密码重置过程中未强制执行最小密码长度或复杂性要求,用户可以设置极其简单的密码,包括单字符密码,这可能导致账户被入侵,包括管理员账户。
漏洞详情
基本信息
- 发布日期: 2025年10月24日 21:16
- 最后修改: 2025年10月24日 21:16
- 远程利用: 是
- 数据来源: cve@mitre.org
CVSS评分
- 评分: 8.3
- 版本: CVSS 3.1
- 严重程度: 高危
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 需要
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 低
受影响产品
目前尚未记录受影响的具体产品版本信息。
解决方案
实施强密码策略以防止账户被入侵:
- 实施最小密码长度要求
- 强制执行密码复杂性规则
- 禁止使用常见或弱密码
- 对用户进行密码安全教育
公共PoC/漏洞利用
CVE-2025-60954在GitHub上有1个公开的PoC/漏洞利用。可前往"公共漏洞利用"选项卡查看列表。
相关资源链接
- https://gist.github.com/progprnv/feae2b76f2db0cb2ac6e14b1bf7d8646
- https://github.com/microweber/microweber
- https://github.com/progprnv/CVE-Reports/blob/main/CVE-2025-60954
CWE关联
CWE-521: 弱密码要求
CAPEC攻击模式
该漏洞与以下攻击模式相关:
- CAPEC-16: 基于字典的密码攻击
- CAPEC-49: 密码暴力破解
- CAPEC-55: 彩虹表密码破解
- CAPEC-70: 尝试常见或默认用户名和密码
- CAPEC-112: 暴力攻击
- CAPEC-509: Kerberoasting
- CAPEC-555: 使用被盗凭据的远程服务
- CAPEC-561: 使用被盗凭据的Windows管理共享
- CAPEC-565: 密码喷洒攻击
GitHub漏洞利用库
progprnv/CVE-Reports
- 更新时间: 14小时50分钟前
- 5星 | 0分支 | 0关注者
- 创建时间: 2025年5月15日 04:53
- 该仓库已关联5个不同的CVE
漏洞时间线
2025年10月24日 - 收到新CVE(来自cve@mitre.org)
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Microweber CMS 2.0存在弱密码要求漏洞… | |
| 添加 | 参考链接 | https://gist.github.com/progprnv/feae2b76f2db0cb2ac6e14b1bf7d8646 | |
| 添加 | 参考链接 | https://github.com/microweber/microweber | |
| 添加 | 参考链接 | https://github.com/progprnv/CVE-Reports/blob/main/CVE-2025-60954 |
2025年10月24日 - CVE修改(由134c704f-9b21-4f2e-91b3-4a467353bcc0)
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L | |
| 添加 | CWE | CWE-521 |