一、 漏洞 CVE-2025-11853 基础信息
漏洞信息
# Sismics Teedy API 文件访问控制漏洞
### 概述
Sismics Teedy 存在一个漏洞,影响版本至 1.11。漏洞存在于组件“API Endpoint”的 `/api/file` 文件中,涉及某个未知功能。
### 影响版本
- Sismics Teedy ≤ 1.11
### 细节
- 漏洞类型:不当的访问控制(Improper Access Controls)
- 攻击向量:远程攻击者可通过操纵请求利用该漏洞
- 漏洞利用状态:已公开披露,可能已被利用
### 影响
- 攻击者可能绕过预期的访问限制,对文件资源进行未经授权的操作
- 该漏洞无需用户交互即可被利用
### 其他信息
- 厂商在漏洞披露早期已被联系,但未有任何回应
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Sismics Teedy API Endpoint file access control
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in Sismics Teedy up to 1.11. This affects an unknown function of the file /api/file of the component API Endpoint. Executing manipulation can lead to improper access controls. The attack may be performed from remote. The exploit has been publicly disclosed and may be utilized. The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Teedy 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Teedy是法国Teedy开源的一个面向个人和企业的开源、轻量级文档管理系统。 Teedy 1.11及之前版本存在访问控制错误漏洞,该漏洞源于文件/api/file中API端点组件访问控制不当,可能导致远程攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11853 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11853 的情报信息
- https://docs.google.com/document/d/1PzTPCtavuLx_GwREvshGMQ8N5zFDmpe-OAR5kZwOZfE/edit?usp=sharing exploit
-
-
-
标题: Submit #657060: GitHub Teedy <=1.11 Improper Access Controls -- 🔗来源链接
标签: third-party-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-11853
四、漏洞 CVE-2025-11853 的评论
暂无评论