关键漏洞信息 产品: Agorum core open 受影响版本: 11.9.1.3-1857 漏洞类型: 明文存储密码 (CWE-256) 安全风险: 高 厂商: Agorum 厂商URL: https://www.agorum.com/ 厂商确认漏洞: 是 厂商状态: 固定 CVE编号: CVE-2025-52164 CVE链接: https://www.cve.org/CVERecord?id=CVE-2025-52164 公告ID: USD-2025-0023 描述 Agorum core 是一个开源的企业内容管理系统(ECM),由德国的Agorum Software GmbH开发。在安装过程中,系统管理员必须为manadmin、demo和数据库用户定义密码。成功安装后,将在agorumcore/doc目录中创建一个数据表单。agorum-core-dataset.txt文件包含之前定义的密码。 概念验证 数据表单 agorum core 包含了多个目录和脚本,以及各种接口和端口的信息。 修复建议 推荐使用强加密算法对密码进行安全哈希处理,以确保它们不会以明文形式存储。 参考资料 https://cwe.mitre.org/data/definitions/256.html 时间线 2025-05-05: 首次通过邮件联系 2025-05-05: 厂商确认并开始调查 2025-05-07: 厂商开始解决和修复问题 2025-05-15: 厂商确认并在云实例中修复 2025-05-20: 发布修复版本11.9.2和11.10.1 2025-05-27: 公布此安全公告 致谢 此安全漏洞由Jason Steng, Roman Hegenstetter, Florian Kirmes, Kai Glauber, DA和Ole Wagner of usd AG发现。