关键漏洞信息 1. 漏洞详情 Hash: SHA256 ID: KL-001-2025 015 标题: Xorux LPAR2RRD Read Only User Log Download Exposing Sensitive Information 受影响供应商: Xorux 受影响产品: LPAR2RRD 受影响版本: 8.00及之前版本 CVE ID: CVE-2025-5498 CWE分类: CWE-648: Incorrect Use of Privileged APIs 2. 漏洞描述 一个应仅限于Web应用程序管理员访问的API端点,可以被只读级别用户访问。该端点可用于下载日志,暴露敏感信息。 3. 技术描述 只读用户可以访问一个用于下载日志的Web应用程序端点。这些日志以.tar.gz格式存储,并包含密码哈希等敏感信息,不应被只读用户查看。攻击者可利用此漏洞获取并尝试破解密码哈希,包括管理员用户的密码。 4. 缓解和修复建议 Xorux发布了8.05版本,其中包含对此漏洞的修复。详见:http://lpar2rrd.com/nots800.php 5. 致谢 此漏洞由Korelogic, Inc.的Jim Becher发现。 6. 披露时间线 2025-07-17: Korelogic请求联系点以安全地报告漏洞。 2025-07-18: 厂商提供support@xorux.com作为联系点。 2025-07-21: Korelogic发送四个额外发现给Xorux。 2025-07-23: 厂商通知问题已修复,新版本将在2025年7月25日发布。 2025-07-25: Xorux发布受影响产品的更新版本。 2025-07-28: Korelogic公开披露。 7. 概念验证 提供了curl命令示例,展示如何利用漏洞下载日志文件,并提取敏感信息如密码哈希。