关键信息 发布日期: 2025年3月28日 标识符: INCIBE-2025-0164 重要性: 4 - 高 受影响资源 DuoxMe iOS应用程序,版本低于3.3.1。 MeetMe产品中的身份验证服务,版本低于2024-09。 MeetMe产品中的呼叫转接服务,版本低于2024-09。 描述 INCIBE协调发布了4个漏洞,其中1个为高严重性,3个为中等严重性,影响Fermax的DuoxMe和MeetMe,在视频门禁服务和移动应用程序中。这些漏洞由Fermax网络安全团队发现。 漏洞详情 CVE-2025-2908: CVSS v4.0 基础分数: 8.5 CVE-2025-2909: CVSS v4.0 基础分数: 6.9 CVE-2025-2910: CVSS v4.0 基础分数: 6.9 CVE-2025-2911: CVSS v4.0 基础分数: 5.3 解决方案 漏洞已在Fermax团队发布的iOS DuoxMe应用程序版本3.3.1和MeetMe产品的身份验证和呼叫转接服务版本2024-09中修复。 详细信息 CVE-2025-2908: 在MeetMe产品中呼叫转接配置模块的凭据暴露,允许攻击者通过配置文件访问一些重要资产。 CVE-2025-2909: DuoxMe(原Blue)应用程序二进制文件在iOS设备上版本低于3.3.1时缺乏加密,允许攻击者未经授权访问应用程序代码并发现敏感信息。 CVE-2025-2910: MeetMe身份验证服务密码重置模块中的用户枚举,允许攻击者通过特定错误消息确定电子邮件地址是否已注册。 CVE-2025-2911: MeetMe产品中呼叫转接服务系统中的未经授权访问,允许攻击者识别多个用户并通过扩展进行暴力攻击。