关键信息 漏洞概述 漏洞名称: Password administration is not logged properly 严重性: Moderate (5.4/10) CVE ID: CVE-2025-32967 CVSS v3 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: Low - 用户交互: None - 范围: Unchanged - 机密性影响: Low - 完整性影响: Low - 可用性影响: None 影响版本与修复版本 受影响版本: “Change Password”。 3. 输入当前密码、新密码和重复新密码。 4. 提交表单。 5. 验证客户端日志,确认没有密码更改事件记录。 6. 验证服务器端 MySQL 日志,日志可能显示模糊的“update”事件,但不明确标识为密码更改。 影响 违反安全日志记录最佳实践(ASVS 7.1)。 阻止适当的审计跟踪。 可能阻碍事件检测和取证调查。 影响所有管理员和任何具有密码更改访问权限的用户。 作者 @nazmul-me