一、 漏洞 CVE-2025-54433 基础信息
漏洞信息
# Bugsink event_id 路径遍历漏洞
## 概述
Bugsink 是一个自托管的错误跟踪服务。在其多个版本中存在路径遍历漏洞,影响文件存储的安全性。
## 影响版本
- 1.4.2 及以下
- 1.5.0 至 1.5.4
- 1.6.0 至 1.6.3
- 1.7.0 至 1.7.3
## 细节
在受影响版本中,Bugsink 的事件接收路径使用了未经验证的 `event_id` 输入来构造文件路径。攻击者可通过构造特定的 `event_id`,使文件写入到非预期的目录位置,从而可能覆盖或创建任意路径下的文件。
## 影响
- 成功利用需拥有有效的 DSN。
- 若 Bugsink 运行在容器中,影响局限于容器内文件系统。
- 若未使用容器,攻击者可能覆盖系统中当前用户有权访问的其他文件,造成更广泛的影响。
## 修复版本
该问题已在以下版本中修复:
- 1.4.3
- 1.5.5
- 1.6.4
- 1.7.4
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-54433 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-54433 的情报信息
-
标题: Path traversal via event_id in ingestion · Advisory · bugsink/bugsink · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Ingestion: ensure event_id is a dashless uuid before using as a filename · bugsink/bugsink@1001726 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: envelope event_id check: on-parse · bugsink/bugsink@211ddf7 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Ingestion: ensure event_id is a dashless uuid before using as a filename · bugsink/bugsink@2c41fbe · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Ingestion: ensure event_id is a dashless uuid before using as a filename · bugsink/bugsink@53cf1a1 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: Ingestion: ensure event_id is a dashless uuid before using as a filename · bugsink/bugsink@55a1550 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: envelope event_id check: on-parse · bugsink/bugsink@b94aa8a · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: envelope event_id check: on-parse · bugsink/bugsink@c341687 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: envelope event_id check: on-parse · bugsink/bugsink@c87217b · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-54433
四、漏洞 CVE-2025-54433 的评论
暂无评论