一、 漏洞 CVE-2025-62424 基础信息
漏洞信息
# ClipBucket 模板编辑器路径遍历漏洞
## 概述
ClipBucket 是一个基于 Web 的视频分享平台。在版本 5.5.2 - #146 及更早版本中,存在一个路径穿越漏洞。
## 影响版本
- ClipBucket ≤ 5.5.2 - #146
## 漏洞细节
- 漏洞出现在 `/admin_area/template_editor.php` 接口。
- 该接口对文件加载路径的校验不充分。
- 认证后的管理员可通过在 `folder` 参数中插入路径穿越序列(如 `../`)读取或写入模板目录之外的任意文件。
- 此漏洞可用于读取服务器上的敏感文件(例如 `/etc/passwd`)或修改可写的系统文件。
## 影响
- **敏感信息泄露**:攻击者可读取系统敏感文件。
- **系统被篡改**:可修改可写文件,可能导致应用或服务器被完全控制。
## 修复版本
- ClipBucket 5.5.2 - #147 及更新版本已修复此漏洞。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-62424 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62424 的情报信息
-
标题: Arbitrary file read and write via path traversal (administrator privileges required) · Advisory · MacWarrior/clipbucket-v5 · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Back office : Add notice when editing default template, Fix possible … · MacWarrior/clipbucket-v5@c06d0f2 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62424
四、漏洞 CVE-2025-62424 的评论
暂无评论