一、 漏洞 CVE-2025-29556 基础信息
漏洞信息
# N/A
## 概述
ExaGrid EX10 设备在版本 6.3 至 7.0.1.P08 中存在一个不正确的访问控制漏洞,允许具有管理员权限的攻击者绕过安全限制,创建或修改具有“安全官(Security Officer)”角色的用户账户,而无需额外审批。
## 影响版本
- ExaGrid EX10 版本:6.3 到 7.0.1.P08
## 细节
从版本 6.3 开始,ExaGrid 引入了限制措施,要求管理员创建或修改“安全官”角色用户时必须经过审批。然而,账户创建过程存在漏洞,攻击者可通过拦截和篡改用户创建过程中的 API 请求,修改参数,从而将新创建的账户加入 ExaGrid Security Officers 用户组,绕过该审批机制。
## 可能造成的影响
- 管理员用户可非法获取或创建具有安全官权限的账户
- 导致权限管理失效,威胁系统安全策略
- 可能导致安全审计与合规性不达标
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ExaGrid EX10 6.3 - 7.0.1.P08 is vulnerable to Incorrect Access Control. Since version 6.3, ExaGrid enforces restrictions preventing users with the Admin role from creating or modifying users with the Security Officer role without approval. However, a flaw in the account creation process allows an attacker to bypass these restrictions via API request manipulation. An attacker with an Admin access can intercept and modify the API request during user creation, altering the parameters to assign the new account to the ExaGrid Security Officers group without the required approval.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
ExaGrid EX10 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ExaGrid EX10是美国ExaGrid公司的一款备份存储服务器。 ExaGrid EX10 6.3至7.0.1.P08版本存在安全漏洞,该漏洞源于API请求处理不当,可能导致绕过权限限制。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-29556 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/0xsu3ks/CVE-2025-29556 | POC详情 |
三、漏洞 CVE-2025-29556 的情报信息
四、漏洞 CVE-2025-29556 的评论
暂无评论