CVE-2025-64127 - Zenitel TCIV-3+ 操作系统命令注入漏洞
概述
漏洞描述
存在操作系统命令注入漏洞,原因是对用户提供的输入清理不足。应用程序接受的参数随后被纳入操作系统命令中,但没有进行充分的验证。这可能允许未经身份验证的攻击者远程执行任意命令。
漏洞时间线
发布日期:2025年11月26日 18:15
最后修改:2025年11月26日 18:15
远程利用:是
来源:ics-cert@hq.dhs.gov
受影响产品
以下产品受到CVE-2025-64127漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表中也未显示该信息。
尚无受影响产品记录
总计受影响供应商:0 | 产品:0
CVSS评分
通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自各种来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 10 | CVSS 3.1 | 严重 | - | - | - | 7d14cffa-0d7d-4270-9dc0-52cabd5a23a6 |
| 10.0 | CVSS 3.1 | 严重 | - | 3.9 | 6.0 | ics-cert@hq.dhs.gov |
| 10 | CVSS 4.0 | 严重 | - | - | - | 7d14cffa-0d7d-4270-9dc0-52cabd5a23a6 |
| 10.0 | CVSS 4.0 | 严重 | - | - | - | ics-cert@hq.dhs.gov |
解决方案
清理用于操作系统命令的所有用户输入。
- 验证和清理所有用户提供的输入
- 避免在操作系统命令中直接使用用户输入
- 实施严格的输入验证检查
- 如果可用,更新到修补版本
咨询、解决方案和工具参考
这里您将找到与CVE-2025-64127相关的深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用弱点枚举
虽然CVE标识特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-64127与以下CWE相关联:
CWE-78:操作系统命令中使用的特殊元素的不当中和(OS命令注入)
常见攻击模式枚举和分类(CAPEC)
常见攻击模式枚举和分类存储攻击模式,这些模式描述了对手利用CVE-2025-64127弱点所采用的常见属性和方法。
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多个输入解释层
- CAPEC-88:OS命令注入
- CAPEC-108:通过SQL注入执行命令行
漏洞评分详情
CVSS 4.0
基础CVSS分数:10
攻击向量:网络 | 攻击复杂性:低 | 攻击要求:无 | 所需权限:无 | 用户交互:无
VS机密性:高 | VS完整性:高 | VS可用性:高 | SS机密性:高 | SS完整性:低 | SS可用性:高
CVSS 3.1
基础CVSS分数:10
攻击向量:网络 | 攻击复杂性:低 | 所需权限:无 | 用户交互:无 | 范围:已更改
机密性影响:高 | 完整性影响:高 | 可用性影响:高