Simple SA Wirtualna Uczelnia软件中的任意代码执行漏洞分析

波兰CERT发布安全公告,披露了Wirtualna Uczelnia软件中的一个高危漏洞(CVE-2025-12140)。该漏洞由于应用程序对‘redirectUrlParameter’参数处理不当,会将用户输入作为Java表达式执行,导致未经身份验证的攻击者能够实现任意代码执行。厂商已在指定版本中修复此问题。

CVE ID

CVE-2025-12140

发布日期

2025年11月27日

供应商

Simple SA

产品

Wirtualna Uczelnia

受影响版本

所有早于 wu#2016.1.5513#0#20251014_113353 的版本

漏洞类型 (CWE)

动态评估代码中指令的不当中和(‘Eval注入’)(CWE-95)

报告来源

向CERT Polska报告

漏洞描述

CERT Polska收到一份关于Wirtualna Uczelnia软件中存在漏洞的报告,并参与了其披露的协调工作。 漏洞CVE-2025-12140:应用程序错误地处理端点redirectToUrl中参数redirectUrlParameter的值。应用程序将输入的字符串解释为Java表达式,允许未经身份验证的攻击者执行任意代码。 此问题已在版本 wu#2016.1.5513#0#20251014_113353 中修复。

致谢

我们感谢 Marcin Ressel 负责任地报告了此漏洞。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次