关键漏洞信息 漏洞名称: (0Day) Marvell QConvergeConsole compressConfigFiles Directory Traversal Information Disclosure and Denial-of-Service Vulnerability 漏洞编号: - ZDI-25-733 - ZDI-CAN-24915 - CVE-2025-8426 CVSS评分: 9.4 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:H) 受影响厂商: Marvell 受影响产品: QConvergeConsole 漏洞详情: - 此漏洞允许远程攻击者在受影响的Marvell QConvergeConsole安装上披露敏感信息或创建拒绝服务条件。利用此漏洞不需要身份验证。 - 具体缺陷存在于compressConfigFiles方法的实现中。问题源于在文件操作之前对用户提供的路径缺乏适当的验证。攻击者可以利用此漏洞披露敏感信息或在系统上创建拒绝服务条件。 额外细节: - 2024年6月25日 - ZDI向厂商提交了报告 - 2024年10月16日 - 厂商沟通称该产品已不再支持 - 缓解措施: 厂商不再支持或推荐此工具。该产品在2022年1月发布v.5.5.0.85后进入生命周期结束(EOL)和停止支持(EOS)状态 披露时间线: - 2025年6月5日 - 向厂商报告漏洞 - 2025年7月31日 - 协调公开发布咨询 - 2025年7月31日 - 更新咨询 发现者: Andrea Micalizzi aka rgod (@rgod777)