ILIAS Test Import unserialize deserialization 漏洞信息(CVE-2025-11345)

一、漏洞 CVE-2025-11345 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # ILIAS 测试导入反序列化漏洞

### 概述

ILIAS 的 Test Import 组件中存在一个反序列化漏洞，攻击者可利用该漏洞进行远程攻击。

### 影响版本

- ILIAS 8.x：<= 8.23
- ILIAS 9.x：<= 9.13
- ILIAS 10.x：<= 10.1

### 细节

- 漏洞位于 `unserialize` 函数中，涉及 Test Import 功能。
- 攻击者可通过精心构造的数据操纵反序列化过程。

### 影响

- 允许远程攻击者发起攻击。
- 可能导致任意代码执行或其他严重后果，取决于反序列化的内容和上下文环境。

### 修复建议

升级到以下版本以解决该问题：

- ILIAS 8.24
- ILIAS 9.14
- ILIAS 10.2

建议尽快升级受影响组件。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

ILIAS Test Import unserialize deserialization

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw has been found in ILIAS up to 8.23/9.13/10.1. Affected by this issue is the function unserialize of the component Test Import. This manipulation causes deserialization. It is possible to initiate the attack remotely. Upgrading to version 8.24, 9.14 and 10.2 can resolve this issue. Upgrading the affected component is advised.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

可信数据的反序列化

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-11345 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-11345 的情报信息

标题： Security-Blog: DOCU -- 🔗来源链接

标签： related
标题： Login required -- 🔗来源链接

标签： signature permissions-required
标题： CVE-2025-11345 ILIAS Test Import unserialize deserialization -- 🔗来源链接

标签： vdb-entry technical-description
标题： Submit #664891: ILIAS open source e-Learning e. V. ILIAS >=8.0.0, <=10.1 Deserialization -- 🔗来源链接

标签： third-party-advisory
https://nvd.nist.gov/vuln/detail/CVE-2025-11345