WuKongOpenSource WukongCRM API Response upload information exposure 漏洞信息(CVE-2025-8852)

一、漏洞 CVE-2025-8852 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # 悟空CRM API响应信息泄露漏洞

## 概述

WuKongOpenSource WukongCRM 11.0 存在一个信息泄露漏洞，攻击者可通过构造特殊请求触发错误信息，从而获取敏感信息。

## 影响版本

* WuKongCRM 11.0

## 细节

* 漏洞存在于 `/adminFile/upload` 文件中
* 涉及 API 响应处理组件（API Response Handler）
* 攻击者可通过远程请求触发异常，导致错误信息暴露
* 具体漏洞成因尚未明确披露

## 影响

* 敏感信息泄露
* 攻击者可在无需认证的情况下远程利用漏洞
* 该漏洞已被披露，并存在被利用的风险

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

WuKongOpenSource WukongCRM API Response upload information exposure

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A vulnerability was identified in WuKongOpenSource WukongCRM 11.0. This affects an unknown part of the file /adminFile/upload of the component API Response Handler. The manipulation leads to information exposure through error message. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

通过错误消息导致的信息暴露

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-8852 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-8852 的情报信息

标题： System Path Disclosure Vulnerability in /adminFile/upload (CWE-209) · Issue #26 · WuKongOpenSource/WukongCRM-11.0-JAVA -- 🔗来源链接

标签： issue-tracking
神龙速读
标题： System Path Disclosure Vulnerability in /adminFile/upload (CWE-209) · Issue #26 · WuKongOpenSource/WukongCRM-11.0-JAVA -- 🔗来源链接

标签： exploit issue-tracking
神龙速读
标题： Login required -- 🔗来源链接

标签： signature permissions-required
神龙速读
标题： CVE-2025-8852 WuKongOpenSource WukongCRM API Response upload information exposure (Issue 26) -- 🔗来源链接

标签： vdb-entry
神龙速读
标题： Submit #624693: WuKongOpenSource WukongCRM v11.0 System Path Disclosure(CWE-209) -- 🔗来源链接

标签： third-party-advisory
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2025-8852