概述
CVE-2025-62820是Slack Nebula软件中的一个安全漏洞,由于在某些配置中错误处理CIDR(无类别域间路由),导致接受Nebula网络内的任意源IP地址。
漏洞详情
漏洞描述:Slack Nebula 1.9.7之前版本在某些配置中错误处理CIDR,因此接受Nebula网络内的任意源IP地址。
漏洞信息:
- 发布日期:2025年10月23日 04:18
- 最后修改:2025年10月23日 04:18
- 远程利用:是
- 信息来源:cve@mitre.org
受影响产品
目前尚未记录受影响的具体产品
- 受影响供应商总数:0
- 产品总数:0
CVSS评分
评分详情:
- 分数:4.9
- 版本:CVSS 3.1
- 严重性:中危
- 向量:AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:L
- 可利用性分数:1.8
- 影响分数:2.7
- 来源:cve@mitre.org
解决方案
- 将Slack Nebula更新至1.9.7或更高版本以修复CIDR处理问题
- 应用供应商提供的1.9.7版本补丁
- 审查并修正Nebula网络配置
相关参考
咨询、解决方案和工具链接:
| URL | 资源 |
|---|---|
| https://github.com/slackhq/nebula/pull/1493 | GitHub修复请求 |
| https://github.com/slackhq/nebula/pull/1494 | GitHub修复请求 |
CWE关联
常见弱点枚举:
- CWE-420:未受保护的备用通道
漏洞历史记录
时间线:
- 2025年10月23日:收到新的CVE报告(来自cve@mitre.org)
变更记录:
| 操作类型 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Slack Nebula 1.9.7之前版本在某些配置中错误处理CIDR,因此接受Nebula网络内的任意源IP地址 | |
| 添加 | CVSS V3.1 | AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:L/A:L | |
| 添加 | CWE | CWE-420 | |
| 添加 | 参考 | https://github.com/slackhq/nebula/pull/1493 | |
| 添加 | 参考 | https://github.com/slackhq/nebula/pull/1494 |