### 关键漏洞信息 #### 漏洞概述 - **JVN编号**: JVN#30641875 - **标题**: BizRobo! 中的多个漏洞 - **发布日期**: 2025/04/10 - **更新日期**: 2025/04/10 #### 影响产品 - **CVE-2025-31362, CVE-2025-31932**: BizRobo! 所有版本 - **CVE-2013-7285**: BizRobo! v11.1 及更早版本 #### 描述 - **硬编码加密密钥的使用 (CVE-321)** - CVSSv3.0 基本分数: 3.7 - 机器人文件可能包含凭据信息,这些凭据使用相同的单个密钥加密。 - **导入功能中对不受信任数据的反序列化 (CVE-502)** - CVSSv3.0 基本分数: 7.2 - 管理控制台包含旧版本的 XStream 库,易受不受信任数据反序列化的影响。 - **Design Studio 许可授权中的不受信任数据反序列化 (CVE-502)** - CVSSv3.0 基本分数: 8.8 - 管理控制台作为 Design Studio 的许可服务器,易受不受信任数据反序列化的影响。 #### 影响 - 如果加密密钥可用,机器人文件中的凭据可能会被获取 (CVE-2025-31362) - 在管理控制台上执行任意代码 (CVE-2013-7285, CVE-2025-31932) #### 解决方案 - **CVE-2025-31362, CVE-2025-31932**: 应用开发者提供的变通方法。 - **CVE-2013-7285**: 更新软件或应用开发者提供的变通方法。 #### 厂商状态 - **厂商**: OPEN, Inc. - **链接**: 提供了关于硬编码加密密钥、Java XStream 库和 MC 许可服务器上的任意代码执行的日文说明。 #### 引用 - JPCERT/CC Addendum - JPCERT/CC 的漏洞分析 #### 致谢 - Masamu Asato 报告了此漏洞给 IPA。