https://blog.qife122.com/tags/cve-2025-67719/ Recent content in CVE-2025-67719 on 办公AI智能小助手 Hugo zh-cn qife Fri, 12 Dec 2025 17:56:42 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-67719%E8%AF%A6%E8%A7%A3ibexa%E5%B9%B3%E5%8F%B0%E5%AF%86%E7%A0%81%E9%AA%8C%E8%AF%81%E7%BB%95%E8%BF%87%E9%A3%8E%E9%99%A9/ Fri, 12 Dec 2025 17:56:42 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-67719%E8%AF%A6%E8%A7%A3ibexa%E5%B9%B3%E5%8F%B0%E5%AF%86%E7%A0%81%E9%AA%8C%E8%AF%81%E7%BB%95%E8%BF%87%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-67719-cwe-620-ibexa-用户密码未经验证更改">CVE-2025-67719: CWE-620: Ibexa 用户密码未经验证更改</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-67719">CVE-2025-67719</h2> <p>Ibexa 是一个可组合的端到端数字体验平台（DXP）。版本 5.0.0-beta1 至 5.0.3 缺少密码验证。在从 v4 升级到 v5 的过程中，验证代码中引入了一个错误，导致对先前密码的验证未能按预期运行。这使得登录用户可以在不知道旧密码的情况下，在后台更改自己的密码。例如，如果用户登录其账户后离开但没有锁定工作站，攻击者就可以访问无人看管的会话并更改密码，从而将合法用户锁定在外。此问题已在版本 5.0.4 中修复。</p>