一、 漏洞 CVE-2025-27590 基础信息
漏洞信息
# N/A
## 漏洞描述
### 概述
在 oxidized-web(又称 Oxidized Web)中,存在一个漏洞,允许未认证的用户通过 RANCID 迁移页面获取对运行 oxidized-web 的 Linux 用户账户的控制权。
### 影响版本
- 版本:< 0.15.0
### 细节
该漏洞存在于 RANCID 迁移页面中,可以被任何未认证的用户利用。通过这个页面,攻击者可以获得对运行 oxidized-web 的 Linux 用户账户的控制权。
### 影响
未认证的用户可以通过此漏洞获取到对系统用户的控制权限,进而可能进一步操作或执行其他恶意行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In oxidized-web (aka Oxidized Web) before 0.15.0, the RANCID migration page allows an unauthenticated user to gain control over the Linux user account that is running oxidized-web.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Oxidized Web 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Oxidized Web是ytti个人开发者的用于 Oxidized 的 Web UI + RESTful API。 Oxidized Web 0.15.0之前版本存在安全漏洞,该漏洞源于RANCID迁移页面允许未经验证的用户控制运行oxidized-web的Linux用户账户。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-27590 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/fatkz/CVE-2025-27590 | POC详情 |
三、漏洞 CVE-2025-27590 的情报信息
-
标题: Release 0.15.0 · ytti/oxidized-web · GitHub -- 🔗来源链接
标签:
-
标题: Remove the RANCID migration page · ytti/oxidized-web@a5220a0 · GitHub -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-27590
四、漏洞 CVE-2025-27590 的评论
暂无评论