CVE-2025-66386 - MISP路径遍历漏洞
概述
漏洞时间线
描述
app/Model/EventReport.php 在 MISP 2.5.27 之前的版本中,允许站点管理员(site-admin)在查看图片时进行路径遍历。
信息
发布日期 : 2025年11月28日 上午7:15
最后修改日期 : 2025年11月28日 上午7:15
远程可利用 : 是!
来源 : cve@mitre.org
受影响产品
以下产品受到 CVE-2025-66386 漏洞的影响。即使 cvefeed.io 知晓受影响产品的确切版本,相关信息也未在下表中体现。
未记录受影响产品
总计受影响供应商:0 | 产品:0
CVSS 分数
通用漏洞评分系统是一个用于评估软件和系统漏洞严重程度的标准化框架。我们为每个 CVE 收集并显示来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 4.1 | CVSS 3.1 | 中危 | 2.3 | 1.4 | cve@mitre.org |
解决方案
将 MISP 更新到 2.5.27 或更高版本以修复路径遍历问题。
- 将 MISP 更新到已打补丁的版本。
- 限制对敏感文件的访问。
- 仔细验证用户输入。
咨询、解决方案和工具参考
在这里,您将找到与 CVE-2025-66386 相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
| URL | 资源 |
|---|---|
| https://github.com/MISP/MISP/commit/7f4a0386d38672eddc139f5735d71c3b749623ce | |
| https://github.com/MISP/MISP/compare/v2.5.26...v2.5.27 |
CWE - 通用弱点枚举
CVE 标识特定的漏洞实例,而 CWE 对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-66386 与以下 CWE 相关联:
- CWE-23:相对路径遍历
通用攻击模式枚举与分类 (CAPEC)
通用攻击模式枚举与分类 (CAPEC) 存储攻击模式,这些模式描述了攻击者利用 CVE-2025-66386 弱点所采用的常见属性和方法。
- CAPEC-76:操纵Web输入以进行文件系统调用
- CAPEC-139:相对路径遍历
漏洞历史记录
以下表格列出了 CVE-2025-66386 漏洞随时间发生的变化。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。
新 CVE 接收 由 cve@mitre.org 于 2025年11月28日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | app/Model/EventReport.php in MISP before 2.5.27 allows path traversal in view picture for a site-admin. |
|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N | |
| 添加 | CWE | CWE-23 | |
| 添加 | 参考 | https://github.com/MISP/MISP/commit/7f4a0386d38672eddc139f5735d71c3b749623ce | |
| 添加 | 参考 | https://github.com/MISP/MISP/compare/v2.5.26...v2.5.27 |
漏洞评分详情
CVSS 3.1
基础 CVSS 分数:4.1
- 攻击向量:网络
- 攻击复杂性:低
- 所需权限:高
- 用户交互:无
- 影响范围:改变
- 机密性影响:低
- 完整性影响:无
- 可用性影响:无