CVE-2025-13130 - Radarr Service Radarr.Console.exe 默认权限漏洞
概述
漏洞时间线
描述
在 Radarr 5.28.0.10274 中发现了一个漏洞。受影响的元素是服务组件文件 C:\ProgramData\Radarr\bin\Radarr.Console.exe 的一个未知功能。此类操作会导致不正确的默认权限。攻击只能从本地环境发起。供应商很早就收到了关于此披露的联系,但未以任何方式回应。
信息
发布日期: 2025年11月13日,晚上10:15
最后修改日期: 2025年11月13日,晚上10:15
远程利用: 否
来源: cna@vuldb.com
受影响的产品
以下产品受到 CVE-2025-13130 漏洞的影响。 即使 cvefeed.io 知晓受影响产品的确切版本,以下表格中并未体现此信息。
无记录在案的受影响产品
: 受影响供应商总数: 0 产品: 0
CVSS 分数
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个 CVE 收集并展示来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 6.8 | CVSS 2.0 | 中 | 3.1 | 10.0 | cna@vuldb.com | |
| 7.8 | CVSS 3.1 | 高 | 1.8 | 5.9 | cna@vuldb.com | |
| 8.5 | CVSS 4.0 | 高 | cna@vuldb.com |
解决方案
解决 Radarr 服务组件中的默认权限配置错误。
- 审查并更正默认文件权限。
- 验证服务组件配置。
- 实施最小权限原则。
- 查阅供应商文档以获取指导。
咨询、解决方案和工具参考
此处,您将找到一组精选的外部链接,提供与 CVE-2025-13130 相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://github.com/lakshayyverma/CVE-Discovery/blob/main/Radarr.md | |
| https://vuldb.com/?ctiid.332361 | |
| https://vuldb.com/?id.332361 | |
| https://vuldb.com/?submit.683876 |
CWE - 常见弱点枚举
虽然 CVE 标识了漏洞的具体实例,但 CWE 对可能导致漏洞的常见缺陷或弱点进行了分类。CVE-2025-13130 与以下 CWE 相关:
- CWE-266: 权限分配不正确
- CWE-276: 不正确的默认权限
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类存储了攻击模式,这些模式描述了对手利用 CVE-2025-13130 弱点所采用的常见属性和方法。
- CAPEC-1: 访问未受ACLs适当约束的功能
- CAPEC-81: Web服务器日志篡改
- CAPEC-127: 目录索引
我们扫描 GitHub 仓库以检测新的概念验证漏洞利用。以下列表是在 GitHub 上发布的公共漏洞利用和概念验证的集合(按最近更新排序)。 结果仅限于前 15 个仓库,以避免潜在的性能问题。
以下列表是在文章中任何地方提及 CVE-2025-13130 漏洞的新闻。 结果仅限于前 20 篇新闻文章,以避免潜在的性能问题。
下表列出了随时间对 CVE-2025-13130 漏洞所做的更改。 漏洞历史记录详细信息可用于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新 CVE 接收 由 cna@vuldb.com 2025年11月13日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 已添加 | 描述 | 在 Radarr 5.28.0.10274 中发现了一个漏洞。受影响的元素是服务组件文件 C:\ProgramData\Radarr\bin\Radarr.Console.exe 的一个未知功能。此类操作会导致不正确的默认权限。攻击只能从本地环境发起。供应商很早就收到了关于此披露的联系,但未以任何方式回应。 |
|
| 已添加 | CVSS V4.0 | AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 已添加 | CVSS V3.1 | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | |
| 已添加 | CVSS V2 | (AV:L/AC:L/Au:S/C:C/I:C/A:C) | |
| 已添加 | CWE | CWE-266 | |
| 已添加 | CWE | CWE-276 | |
| 已添加 | 参考 | https://github.com/lakshayyverma/CVE-Discovery/blob/main/Radarr.md | |
| 已添加 | 参考 | https://vuldb.com/?ctiid.332361 | |
| 已添加 | 参考 | https://vuldb.com/?id.332361 | |
| 已添加 | 参考 | https://vuldb.com/?submit.683876 |
错误配置
漏洞评分详情
CVSS 4.0 CVSS 3.1 CVSS 2.0
基础 CVSS 分数:8.5
攻击向量 / 攻击复杂度 / 攻击要求 / 所需权限 / 用户交互 / VS 机密性 / VS 完整性 / VS 可用性 / SS 机密性 / SS 完整性 / SS 可用性
攻击向量:网络/相邻/本地/物理 攻击复杂度:低/高 攻击要求:无/存在 所需权限:无/低/高 用户交互:无/被动/主动 VS 机密性:高/低/无 VS 完整性:高/低/无 VS 可用性:高/低/无 SS 机密性:高/低/无 SS 完整性:高/低/无 SS 可用性:高/低/无
基础 CVSS 分数:7.8
攻击向量:网络/相邻/本地/物理 攻击复杂度:低/高 所需权限:无/低/高 用户交互:无/必需 范围:已更改/未更改 机密性影响:高/低/无 完整性影响:高/低/无 可用性影响:高/低/无
基础 CVSS 分数:6.8
访问向量:网络/相邻/本地 访问复杂度:低/中/高 身份验证:无/单次/多次 机密性影响:完全/部分/无 完整性影响:完全/部分/无 可用性影响:完全/部分/无