关键信息 漏洞概述 漏洞类型: 业务逻辑错误 (Business Logic Errors) CVE ID: CVE-2025-48479 CWE ID: CWE-841 (不当的行为工作流执行) 影响范围 受影响版本: <1.8.180 修复版本: 1.8.180 描述 产品: Laravel Translation Manager in FreeScout 版本: v1.8.173 和 1.8.174 问题: 应用程序的工作流逻辑需要用户执行特定顺序的操作才能启用特定功能。然而,存在一个漏洞允许用户跳过一个或多个必需操作,但仍能访问该功能。 漏洞参数 利用条件 授权用户(利用FreeScout中的漏洞,攻击者需要具有管理员权限;在其他项目中,利用取决于设置)。 漏洞代码片段 缓解措施 建议应用程序的逻辑应强制完成所有必需步骤,然后才允许实现任何功能。 研究人员 Artem Deikov, Ilya Tsaturav, Daniil Satyaev, Roman Cheremnykh, Artem Danilov, Stanislav Gleyrn (Positive Technologies) 研究发现 发现了Laravel Translation Manager包不正确验证用户输入的零日漏洞,允许删除任何目录,给定足够的访问权限。 CVSS评分 严重性: 高 (8.5/10) 攻击向量: 网络 攻击复杂度: 低 所需权限: 高 机密性影响: 高 完整性影响: 高