关键信息 漏洞标识 CVE编号: CVE-2025-54554 漏洞描述 漏洞类型: 未授权访问 影响: 敏感信息泄露 受影响组件: tiaudit REST API端点 厂商: Tera Insights 发现者 发现者: Amanpreet Parmar 摘要 CVE-2025-54554 在 ticrypt 平台的 tiaudit 组件中识别出一个漏洞,该漏洞允许未授权访问 REST API 端点,这些端点暴露了底层 SQL 查询和数据库结构的敏感信息。 描述 在 2025 年 7 月 17 日之前,tiaudit 审计日志服务允许未授权用户访问其 REST API 端点。这些端点披露了内部 SQL 查询模式和数据库架构信息,而无需身份验证。尽管最初被认为是预期行为,但厂商已承认这构成了信息泄露风险,并同意应仅限于已认证用户访问。已在 2025 年 7 月 25 日前实施修复并反映在相关文档中。 影响 漏洞类型: 不当访问控制 攻击向量: 本地(未授权) 影响: 信息泄露 受影响组件: tiaudit 中的 REST API 端点 厂商状态: 已解决 修复状态: 厂商已于 2025 年 7 月 25 日解决 文档参考: ticrypt 审计 REST API 文档 关于 ticrypt 的注释 尽管此漏洞有效,但总体安全设计非常出色,其架构展示了对分层安全、最小权限和加密访问强制执行的深刻关注,特别是在受 NIST 800-171 标准管理的环境中尤为重要。