trytond 数据导出时未强制执行访问权限
漏洞详情
标识符: CVE-2025-66424 严重性: 中等 CVSS 评分: 6.5
Tryton trytond(版本 6.0 至 7.6.10 等)存在一个安全漏洞,在进行数据导出操作时未正确执行访问权限检查。
受影响版本
>= 7.5.0, < 7.6.11>= 7.1.0, < 7.4.21>= 7.0.0, < 7.0.40>= 6.0.0, < 6.0.70
已修复版本
此问题已在以下版本中修复:
- 7.6.11
- 7.4.21
- 7.0.40
- 6.0.70
技术描述
Tryton trytond 6.0 至 7.6.10 等版本在数据导出功能中存在授权缺陷。系统未对用户尝试执行的数据导出操作实施有效的访问权限验证,导致攻击者可能绕过既定的访问限制,导出其本无权访问的数据。
CVSS v3.1 基准指标
- 攻击向量(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 所需权限(PR): 低(L)
- 用户交互(UI): 无(N)
- 范围(S): 未改变(U)
- 机密性影响(C): 高(H)
- 完整性影响(I): 无(N)
- 可用性影响(A): 无(N)
向量字符串: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
弱点分类
- CWE-ID: CWE-863 - 不正确的授权
参考链接
元数据
- GitHub Advisory ID: GHSA-2w93-qwpp-vgvj
- NVD发布时间: 2025年11月30日
- GitHub Advisory Database 发布时间: 2025年11月30日
- 最后更新时间: 2025年12月2日
- 源代码仓库: tryton/trytond