软件包
Opto22 Groov EPICS
受影响版本
所有早于4.0.3的版本
已修复版本
4.0.3
影响
View Users API端点会返回所有用户及其相关元数据(包括Web API令牌)。该端点需要Editor角色才能访问,但会显示所有用户(包括系统级管理员)的API密钥。
漏洞描述
发现一个RBAC(基于角色的访问控制)权限提升问题,允许具有Editor角色的恶意用户通过泄露目标Web API令牌提升至管理员级别访问权限。
发现与修复
此问题在Red Team X评估期间被发现,并在CVE-2025-13084中披露。该问题现已解决,并为客户提供了修复程序。
严重性
高
CVSS总体评分:7.6
此评分基于通用漏洞评分系统(CVSS)计算总体漏洞严重程度,范围从0到10。
CVSS v3基础指标
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:无
- 范围:未更改
- 机密性影响:高
- 完整性影响:低
- 可用性影响:低
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
CVE ID
CVE-2025-13084
弱点
无CWE条目
致谢
- tsytsarkin - 发现者
- ismai1337 - 发现者