一、 漏洞 CVE-2025-53509 基础信息
漏洞信息
# Advantech iView 参数注入
## 漏洞概述
Advantech iView中的一个漏洞允许在`NetworkServlet.restoreDatabase()`函数中进行参数注入。此漏洞需要具有至少用户级别权限的经过身份验证的攻击者。由于输入参数在使用时不进行适当的清理,会导致任意参数被注入,从而可能导致敏感数据库凭证等信息泄露。
## 影响版本
未具体说明版本信息。
## 漏洞细节
- **漏洞位置**:`NetworkServlet.restoreDatabase()`函数。
- **攻击者要求**:需要经过身份验证并具有至少用户级别权限的攻击者。
- **漏洞原因**:输入参数未经过适当清理即在命令中直接使用。
- **注入类型**:参数注入。
## 影响
- **信息泄露**:由于参数注入,可能导致敏感信息(例如数据库凭证)被泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Advantech iView Argument Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability exists in Advantech iView that allows for argument
injection in the NetworkServlet.restoreDatabase(). This issue requires
an authenticated attacker with at least user-level privileges. An input
parameter can be used directly in a command without proper sanitization,
allowing arbitrary arguments to be injected. This can result in
information disclosure, including sensitive database credentials.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
参数注入或修改
来源:美国国家漏洞数据库 NVD
漏洞标题
Advantech iView 参数注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Advantech iView是中国研华(Advantech)公司的一个基于简单网络协议(SNMP)来对 B + B SmartWorx 设备进行管理的软件。 Advantech iView存在参数注入漏洞,该漏洞源于NetworkServlet.restoreDatabase函数中参数注入,可能导致信息泄露,包括敏感数据库凭据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53509 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
