关键漏洞信息 漏洞ID TVN ID: TVN-202508002 CVE ID CVE-2025-8909 CVE-2025-8910 CVE-2025-8911 CVE-2025-8912 CVE-2025-8913 CVE-2025-8914 CVSS评分 CVE-2025-8909: 6.5 (Medium) CVE-2025-8910, CVE-2025-8911: 6.1 (Medium) CVE-2025-8912: 7.5 (High) CVE-2025-8913: 9.8 (Critical) CVE-2025-8914: 6.5 (Medium) 影响产品 Organization Portal System version IFOTP_P3_2_1_106 and earlier 描述 CVE-2025-8909: Arbitrary File Reading - 远程攻击者可以利用绝对路径遍历下载任意系统文件。 CVE-2025-8910, CVE-2025-8911: Reflected Cross-Site Scripting - 未认证的远程攻击者可以通过钓鱼攻击在用户的浏览器中执行任意JavaScript代码。 CVE-2025-8912: Arbitrary File Reading - 未认证的远程攻击者可以利用绝对路径遍历下载任意系统文件。 CVE-2025-8913: Local File Inclusion - 未认证的远程攻击者可以在服务器上执行任意代码。 CVE-2025-8914: SQL Injection - 未认证的远程攻击者可以注入任意SQL命令以读取数据库内容。 解决方案 更新到版本IFOTP_P3_2_1_197或更高版本 致谢 Lai Yu-Jon(CHT Security), BTtea(CHT Security) 公布日期 2025-08-13