CVE-2025-55322 - 安全更新指南 - Microsoft - OmniParser远程代码执行漏洞
漏洞概述
CVE-2025-55322 - OmniParser远程代码执行漏洞
发布日期: 2025年9月24日 分配CNA: Microsoft 最大严重等级: 重要 弱点类型: CWE-1327:绑定到不受限制的IP地址
CVSS评分详情
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:U/RL:O/RC:C 基础分数: 7.3 时序分数: 6.4
基础评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 易受攻击的组件绑定到网络堆栈,可能的攻击者范围扩展到整个互联网 |
| 攻击复杂度 | 低 | 不存在专门的访问条件或减轻情况,攻击者可以预期对易受攻击组件的可重复成功 |
| 所需权限 | 无 | 攻击者在攻击前未经授权,因此不需要任何访问设置或文件即可进行攻击 |
| 用户交互 | 无 | 无需任何用户交互即可利用易受攻击的系统 |
| 范围 | 未更改 | 被利用的漏洞只能影响由同一安全机构管理的资源 |
| 机密性影响 | 低 | 存在一定的机密性损失,攻击者可以获取某些受限信息,但无法控制获取的信息 |
| 完整性影响 | 低 | 可以修改数据,但攻击者无法控制修改的后果,或者修改量有限 |
| 可用性影响 | 低 | 性能降低或资源可用性中断,但攻击者无法完全拒绝向合法用户提供服务 |
时序评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 漏洞利用代码成熟度 | 未验证 | 没有公开可用的漏洞利用代码,或者漏洞利用是理论性的 |
| 修复级别 | 官方修复 | 提供了完整的供应商解决方案,供应商已发布官方补丁或升级可用 |
| 报告可信度 | 已确认 | 存在详细报告,或者可以进行功能性复现,源代码可用于独立验证研究断言 |
执行摘要
GitHub中绑定到不受限制的IP地址允许未经授权的攻击者通过网络执行代码。
可利用性评估
在原始发布时对此漏洞的可利用性评估:
- 公开披露: 否
- 已利用: 否
- 可利用性评估: 利用可能性较低
常见问题解答
问: 根据CVSS指标,成功利用此漏洞可能导致机密性(C:L)、完整性(I:L)和可用性(A:L)的轻微损失。这对该漏洞意味着什么?
答: 虽然我们不能排除对机密性、完整性和可用性的影响,但单独利用此漏洞的能力有限。攻击者需要将此漏洞与其他漏洞结合才能执行攻击。
致谢
- Lei Wang
- Aonan Guan
Microsoft认可安全社区中那些通过协调漏洞披露帮助我们保护客户的努力。
安全更新
发布日期: 2025年9月24日 产品: OmniParser 平台: 不适用 影响: 远程代码执行 最大严重等级: 重要
知识库文章: 2个链接 安全更新下载: 2个链接 构建版本: 2.0.1
修订记录
| 版本 | 修订 | 日期 | 描述 |
|---|---|---|---|
| 1.0 | 2025年9月24日 | 信息发布 |