CVE-2025-35981 - VISA命令中心服务器信息泄露
概述
CVE-2025-35981 是一个中危漏洞,CVSS 3.1评分为5.5分,涉及VISA命令中心服务器的信息泄露问题。
漏洞描述
该漏洞属于"向未授权参与者暴露私人个人信息"(CWE-359)类型。在命令中心服务器中,特权操作员能够查看其通常无权访问的持卡人有限个人数据。
此问题影响以下版本的命令中心服务器:
- 9.30.1874 (MR1)
- 9.20.2337 (MR3)
- 9.10.3194 (MR6)
漏洞时间线
- 发布日期:2025年10月23日 04:16
- 最后修改:2025年10月23日 04:16
- 远程利用:否
- 来源:disclosures@gallagher.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.5 | CVSS 3.1 | 中危 | - | - | - | 0c426f27-3ee1-4eff-be88-288d5a1822bc |
| 5.5 | CVSS 3.1 | 中危 | - | 1.8 | 3.6 | disclosures@gallagher.com |
解决方案
限制基于用户角色和权限对敏感持卡人数据的访问:
- 审查并执行最小权限访问控制
- 应用供应商安全补丁和更新
- 审计访问日志以发现未经授权的数据查看
- 验证基于角色的持卡人信息访问权限
相关参考
咨询、解决方案和工具链接:
CWE - 常见弱点枚举
CWE-359:向未授权参与者暴露私人个人信息
常见攻击模式枚举和分类(CAPEC)
与CVE-2025-35981弱点相关的攻击模式:
- CAPEC-464: Evercookie
- CAPEC-467: 跨站识别
- CAPEC-498: 探测iOS截图
- CAPEC-508: 肩窥
漏洞历史记录
| 时间 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年10月23日 | 新增 | 描述 | - | 暴露私人个人信息给未授权参与者(CWE-359)在命令中心服务器中允许特权操作员查看他们通常无权查看的持卡人有限个人数据。此问题影响命令中心服务器:9.30.1874(MR1)、9.20.2337(MR3)、9.10.3194(MR6)。 |
| 2025年10月23日 | 新增 | CVSS V3.1 | - | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| 2025年10月23日 | 新增 | CWE | - | CWE-359 |
| 2025年10月23日 | 新增 | 参考 | - | https://security.gallagher.com/en-NZ/Security-Advisories/CVE-2025-35981 |
CVSS 3.1评分详情
基础CVSS分数:5.5
攻击向量:本地 攻击复杂度:低 所需权限:低 用户交互:无 范围:未改变 机密性影响:高 完整性影响:无 可用性影响:无