关键信息 漏洞详情 漏洞编号: usd-2025-0022 产品: Agorum core open 受影响版本: 11.9.1.3-1857 漏洞类型: 绝对路径遍历 (CWE-36) 安全风险: 高 厂商: Agorum 厂商URL: https://www.agorum.com/ 是否确认漏洞: 是 厂商状态: 已修复 CVE编号: CVE-2025-52168 CVE链接: https://www.cve.org/CVERecord?id=CVE-2025-52168 建议ID: usd-2025-0022 描述 Agorum core是一个开源的企业内容管理系统(ECM),由德国的Agorum Software GmbH开发。它提供了一个模块化、高度可定制的平台,用于文档管理、工作流自动化和数字协作。 概念验证 端点允许攻击者在无需身份验证的情况下访问系统上的任意文件。以下请求可用于测试该绝对路径遍历漏洞: 服务器响应将包含所请求文件的全部内容,如下所示: 修复建议 确保用户输入经过适当验证和清理,以防止使用绝对路径或危险字符。始终使用相对路径进行文件访问,以防止用户导航到意外目录之外。实施白名单以限制文件访问特定、受信任的位置,并限制文件系统权限仅限于必要的文件和目录。 Agorum core open用户应升级到版本11.9.2或11.10.1。 时间线 2025-05-05: 首次联系请求通过电子邮件。 2025-05-05: 厂商确认收到报告并开始调查发现。 2025-05-07: 厂商通知我们已在工作中修复漏洞。 2025-05-15: 厂商解决了云实例中的漏洞。 2025-05-30: 厂商发布了修复版本11.9.2和11.10.1。 2025-06-27: 此公告发布。 致谢 此安全漏洞由Jakob Siveg、Roman Hergenreder、Florian Kimmes、Kai Glauber、DR和Ole Wagner of usd AG发现。