CVE-2025-50154 - 微软Windows文件资源管理器欺骗漏洞安全更新指南
漏洞概述
CVE编号:CVE-2025-50154
漏洞类型:欺骗漏洞
最大严重等级:重要
弱点类型:CWE-200:向未授权参与者暴露敏感信息
发布时间:2025年8月12日
最后更新:2025年10月16日
影响分析
Windows文件资源管理器中的敏感信息暴露允许未授权攻击者通过网络执行欺骗攻击。
CVSS评分详情
CVSS 3.1向量:AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C
基础分数:6.5
时间分数:5.7
基础评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 攻击向量 | 网络 | 漏洞组件绑定到网络堆栈,攻击者可通过互联网远程利用 |
| 攻击复杂度 | 低 | 不存在专门的访问条件,攻击者可预期对漏洞组件的重复成功攻击 |
| 所需权限 | 无 | 攻击者在攻击前未获授权,不需要任何设置或文件访问权限 |
| 用户交互 | 需要 | 成功利用此漏洞需要用户在漏洞被利用前采取某些操作 |
| 范围 | 未更改 | 被利用的漏洞只能影响由同一安全机构管理的资源 |
| 机密性影响 | 高 | 存在完全的机密性损失,受影响组件内的所有资源都会泄露给攻击者 |
| 完整性影响 | 无 | 受影响组件内没有完整性损失 |
| 可用性影响 | 无 | 受影响组件的可用性没有影响 |
时间评分指标
| 指标 | 值 | 描述 |
|---|---|---|
| 利用代码成熟度 | 未验证 | 没有公开可用的利用代码,或者利用是理论性的 |
| 修复级别 | 官方修复 | 提供完整的供应商解决方案,供应商已发布官方补丁或升级可用 |
| 报告可信度 | 已确认 | 存在详细报告,或可能进行功能复现,源代码可用于独立验证研究断言 |
可利用性评估
公开披露:否
已被利用:否
可利用性评估:利用不太可能
常见问题解答
问:根据CVSS指标,需要用户交互(UI:R)。用户需要做什么交互?
答:用户需要被诱骗打开包含特制文件的文件夹。
致谢
- Trend Research的Lucas Miller
- Cymulate的Ruben Enkaoua (https://cymulate.com/)
安全更新
以下为受影响产品的安全更新列表:
| 发布日期 | 产品 | 平台 | 影响 | 最大严重等级 | 知识库文章 | 下载 | 构建号 |
|---|---|---|---|---|---|---|---|
| 2025年8月12日 | Windows 10 Version 21H2 for 32-bit Systems | - | 欺骗 | 重要 | 5063709 | 安全更新 | 10.0.19044.6216 |
| 2025年8月12日 | Windows Server 2022 (Server Core installation) | - | 欺骗 | 重要 | 5063880, 5063812 | 安全更新, 安全热修补更新 | 10.0.20348.4052, 10.0.20348.3989 |
| 2025年8月12日 | Windows Server 2022 | - | 欺骗 | 重要 | 5063880, 5063812 | 安全更新, 安全热修补更新 | 10.0.20348.4052, 10.0.20348.3989 |
| …完整列表包含37个受影响系统… |
修订历史
| 版本 | 修订日期 | 描述 |
|---|---|---|
| 1.2 | 2025年10月16日 | 更新了致谢信息。仅为信息性更改 |
| 1.1 | 2025年9月17日 | 更新了一个或多个受影响产品的CVSS分数。仅为信息性更改 |
| 1.0 | 2025年8月12日 | 信息发布 |
免责声明
Microsoft知识库中提供的信息"按原样"提供,不附带任何种类的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商都不对任何损害承担责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。有些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。