一、 漏洞 CVE-2025-13455 基础信息

                                        # N/A

## 概述
ThinkPlus 配置软件中存在一个漏洞，允许本地认证用户绕过设备身份验证，注册不可信指纹。

## 影响版本
未明确提及具体受影响的版本。

## 细节
该漏洞存在于 ThinkPlus 配置软件中，攻击者需具备本地访问权限并已通过身份验证。利用该漏洞可绕过正常的设备认证机制，向系统添加未经信任的指纹。

## 影响
攻击者可利用此漏洞注册恶意指纹，后续可通过该指纹获得设备访问权限，破坏生物特征认证的安全性。
                                        

二、漏洞 CVE-2025-13455 的公开POC

三、漏洞 CVE-2025-13455 的情报信息

• 标题： 【安全公告】LEN-210545 ThinkPlus存储设备漏洞-联想知识库 -- 🔗来源链接

  标签：

  神龙速读：

                                          ### 漏洞关键信息
  
  #### 故障现象
  - **联想安全公告**: LEN-210545
  - **潜在影响**: 信息泄露
  - **严重性**: 高
  - **影响范围**: 联想特有应用
  - **CVE 编号**: CVE-2025-13453, CVE-2025-13454, CVE-2025-13455
  
  #### 摘要描述
  - 部分ThinkPlus USB驱动器存在潜在漏洞，可能允许具备物理访问权限的用户读取驱动器存储的数据（CVE-2025-13453）。
  - ThinkPlus配置软件存在潜在漏洞，可能允许本地经过身份验证的用户访问敏感设备信息（CVE-2025-13454）。
  - ThinkPlus配置软件存在漏洞，可能允许本地认证用户绕过设备认证并注册未受信任的指纹（CVE-2025-13455）。
  
  #### 解决方案
  - 已发布硬件级解决方案以修复这些漏洞。受影响用户可通过售后渠道申请免费售后升级，并在寄送前备份重要数据，彻底删除或格式化设备。
  
  #### 受影响的产品清单
  - ThinkPlus FU100
  - ThinkPlus FU200
  - ThinkPlus TU800
  - ThinkPlus TSD303
  
  #### 致谢
  - 感谢Xusheng Li（Vector 35 Inc）报告这些问题。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2025-13455

四、漏洞 CVE-2025-13455 的评论