Smidge易受路径遍历攻击 · CVE-2025-11842 · GitHub安全公告数据库

漏洞详情

包管理器: nuget
受影响包: Smidge (NuGet)
受影响版本: < 4.6.0
已修复版本: 4.6.0

漏洞描述

在Shazwazza Smidge直至4.5.1版本中发现一个安全漏洞。受影响的元素是Bundle Handler组件中的未知功能。对Version参数的操纵会导致路径遍历。该攻击可被远程利用。升级到4.6.0版本足以解决此问题。建议升级受影响组件。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-11842

• https://github.com/Shazwazza/Smidge/releases/tag/v4.6.0

• https://vuldb.com/?id.328776

• https://vuldb.com/?submit.664905

严重程度

中等严重程度
CVSS总体评分: 5.3/10

CVSS v4基础指标

可利用性指标:

• 攻击向量: 网络
• 攻击复杂度: 低
• 攻击要求: 无
• 所需权限: 低
• 用户交互: 无

脆弱系统影响指标:

• 机密性: 低
• 完整性: 低
• 可用性: 低

后续系统影响指标:

• 机密性: 无
• 完整性: 无
• 可用性: 无

弱点分析

弱点类型: CWE-22
描述: 对受限目录路径名的限制不当（路径遍历）
产品使用外部输入来构造路径名，该路径名旨在标识位于受限父目录下的文件或目录，但产品未能正确中和路径名中的特殊元素，这些元素可能导致路径名解析到受限目录之外的位置。

标识符

• CVE ID: CVE-2025-11842
• GHSA ID: GHSA-9rvm-p3qm-f4vv
• 源代码: Shazwazza/Smidge