一、 漏洞 CVE-2025-25268 基础信息
漏洞信息
# 通过暴露的API端点进行未认证的配置访问
## 漏洞概述
未认证的相邻攻击者可以通过发送特定请求到API端点来修改配置,从而获得读写权限,这是因为缺少认证机制。
## 影响版本
无具体版本信息。
## 细节
攻击者无需身份验证,可以通过向API端点发送特定请求来修改配置。由于系统缺少必要的认证机制,攻击者可以获得对系统配置的读写访问权限。
## 影响
该漏洞允许未认证的攻击者更改系统配置,可能导致未经授权的数据访问和系统操作,从而对系统安全性和稳定性造成严重影响。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unauthenticated Configuration Access via Exposed API Endpoint
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An unauthenticated adjacent attacker can modify configuration by sending specific requests to an API-endpoint resulting in read and write access due to missing authentication.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
关键功能的认证机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
PHOENIX CONTACT CHARX SEC-3xxx 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PHOENIX CONTACT CHARX SEC-3000等都是德国菲尼克斯电气(PHOENIX CONTACT)公司的产品。PHOENIX CONTACT CHARX SEC-3000是一个 AC 充电控制器。PHOENIX CONTACT CHARX SEC-3050是一个 AC 充电控制器。PHOENIX CONTACT CHARX SEC-3100是一个 AC 充电控制器。 PHOENIX CONTACT CHARX SEC-3xxx存在访问控制错误漏洞,该漏洞源于未经认证的相邻攻击者可通过向A
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-25268 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
