MineAdmin 存在不安全的默认密码 · CVE-2025-65854 · GitHub 安全通告数据库
漏洞详情
包管理器: Composer
受影响包: mineadmin/mineadmin
受影响版本: <= 3.0.9
已修复版本: 无
漏洞描述: MineAdmin v3.x 版本中计划任务功能的权限设置不安全,使得攻击者能够执行任意命令,并导致完全账户接管。
参考链接:
- https://nvd.nist.gov/vuln/detail/CVE-2025-65854
- https://gist.github.com/SourByte05/1a6c6b08ac47c5d58eb7dd4422cc23b7
- http://mineadmin.com
- https://github.com/mineadmin/mine-core/blob/7994da7f5cd0778eb9aadd550c50c259cc1d1048/src/Command/InstallProjectCommand.php#L123
发布时间线
- 国家漏洞数据库发布时间: 2025年12月12日
- GitHub 安全通告数据库发布时间: 2025年12月12日
- 审核时间: 2025年12月12日
- 最后更新时间: 2025年12月12日
严重程度
等级: 严重 CVSS 总体评分: 9.8 / 10
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
CVSS 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
EPSS 评分
漏洞被利用概率预测: 0.091% (第26百分位) 注: 该分数估计此漏洞在未来30天内被利用的概率,数据由 FIRST 提供。
安全弱点
弱点标识: CWE-94 弱点名称: 代码生成控制不当(代码注入) 描述: 该产品使用来自上游组件的外部影响输入构建全部或部分代码段,但未能对可能修改预期代码段语法或行为的特殊元素进行中和或中和不正确。 更多信息请参阅 MITRE。
标识符
- CVE ID: CVE-2025-65854
- GHSA ID: GHSA-x6mh-4w8x-p34v
源代码: mineadmin/mineadmin