一、 漏洞 CVE-2025-8868 基础信息
漏洞信息
                                        # Chef Automate SQL注入漏洞

## 概述

在 Chef Automate 的旧版本(低于 4.13.295)中,存在一个 SQL 命令注入漏洞,攻击者可通过中和不当的输入,利用已知令牌访问合规性服务中的受限功能。

## 影响版本

- Chef Automate 版本低于 4.13.295
- 平台:Linux x86

## 细节

漏洞源于对 SQL 命令中使用的输入未正确中和处理。经过身份验证的攻击者可利用该问题,通过已知令牌注入恶意 SQL 输入,从而绕过权限限制。

## 影响

攻击者可借此访问 Chef Automate 合规性服务中的受限制功能,可能导致数据泄露、权限提升或系统被进一步入侵。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Chef Automate compliance service SQL Injection Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Progress Chef Automate, versions earlier than 4.13.295, on Linux x86 platform, an authenticated attacker can gain access to Chef Automate restricted functionality in the compliance service via improperly neutralized inputs used in an SQL command using a well-known token.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Chef Automate 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Chef Software Chef Automate是Chef Software公司的一种自动化平台,用于自动化和管理基础设施、应用程序和合规性,以帮助组织实现持续交付、自动化操作和安全合规性。 Chef Automate 4.13.295之前版本存在信息泄露漏洞,该漏洞源于合规服务中SQL命令输入中和不当,可能导致未经授权访问受限功能。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-8868 的公开POC
# POC 描述 源链接 神龙链接
1 In Progress Chef Automate, versions earlier than 4.13.295, on Linux x86 platform, an authenticated attacker can gain access to Chef Automate restricted functionality in the compliance service via improperly neutralized inputs used in an SQL command using a well-known token. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-8868.yaml POC详情
三、漏洞 CVE-2025-8868 的情报信息
四、漏洞 CVE-2025-8868 的评论

暂无评论

发表评论