一、 漏洞 CVE-2025-27580 基础信息
漏洞信息
# N/A
## 漏洞概述
NIH BRICS 14.0.0-67 之前的版本存在漏洞,生成的令牌易于预测,且依赖于用户名、时间和固定的字符串 "7Dl9#dj-"。这使得未认证用户可以通过 Common Access Card (CAC) 提升权限,从而接管包括管理员在内的任何账户。
## 影响版本
- NIH BRICS 14.0.0-67 及之前版本
## 漏洞细节
- 令牌生成算法不安全,使用了可预测的参数,包括用户名、时间和固定字符串 "7Dl9#dj-"。
- 攻击者利用此漏洞可以提升权限,甚至获取管理员权限。
## 影响
- 未认证用户可利用漏洞提升权限。
- 可以接管包括管理员在内的任何账户,造成严重的安全风险。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-27580 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Exploit for CVE-2025-27580: A predictable token vulnerability in NIH BRICS through 14.0.0-67 allows unauthenticated users with a Common Access Card (CAC) to escalate privileges and compromise any account, including administrators. | https://github.com/TrustStackSecurity/CVE-2025-27580 | POC详情 |
三、漏洞 CVE-2025-27580 的情报信息
-
标题: GitHub - brics-dev/brics -- 🔗来源链接
标签:
-
标题: Home | BRICS -- 🔗来源链接
标签:
-
标题: brics/core/src/main/java/gov/nih/tbi/CoreConstants.java at 26bc6bb627a9a60e6c6a8a8c29735ae98c2e2679 · brics-dev/brics · GitHub -- 🔗来源链接
标签:
-
标题: brics/service/src/main/java/gov/nih/tbi/account/service/complex/AccountManagerImpl.java at 26bc6bb627a9a60e6c6a8a8c29735ae98c2e2679 · brics-dev/brics · GitHub -- 🔗来源链接
标签:
-
标题: Vulnerability.Research/CVE-2025-27580/README.md at main · RoseHacks/Vulnerability.Research · GitHub -- 🔗来源链接
标签:
-
标题: 404 | Bug Culture -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-27580
四、漏洞 CVE-2025-27580 的评论
暂无评论