漏洞详情

包管理器: pip 受影响的包: trytond (pip)

受影响版本:

• = 7.5.0， < 7.6.11

• = 7.1.0， < 7.4.21

• = 7.0.0， < 7.0.40

• < 6.0.70

已修补版本:

• 7.6.11
• 7.4.21
• 7.0.40
• 6.0.70

描述

Tryton 框架中的 trytond 组件在 7.6.11、7.4.21、7.0.40 和 6.0.70 之前的版本中存在一个漏洞，允许远程攻击者获取敏感的追踪回溯信息，这些信息可能包含服务器设置详情。此问题已在上述修补版本中得到修复。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-66422

严重性评估

严重等级: 中等 (Moderate) CVSS 总体评分: 4.3 / 10

CVSS v3.1 基本指标向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

• 攻击向量 (AV): 网络 (Network)
• 攻击复杂度 (AC): 低 (Low)
• 所需权限 (PR): 低 (Low)
• 用户交互 (UI): 无 (None)
• 影响范围 (S): 不变 (Unchanged)
• 机密性影响 (C): 低 (Low)
• 完整性影响 (I): 无 (None)
• 可用性影响 (A): 无 (None)

EPSS 评分: 0.037% (第11百分位)

安全弱点

弱点 (CWE): CWE-402 - 将私有资源传输到新的领域（‘资源泄漏’） 该产品将本意仅供产品自身访问的资源提供给不受信任的方。