关键漏洞信息 CVE-2025-35113: Remote Code Execution via EUI Template Injection 受影响版本: Agiloft Release 19 至 Release 28 解决版本: Release 31 风险上下文: 只有具有管理访问权限和导入/编辑EUI模板的用户才能利用此问题。RBAC显著限制了暴露。 缓解措施: 在Release 31中完全解决了此问题,包括防止未经授权通过模板执行代码的安全措施。 CVE-2025-35114: XML External Entity (XXE) Vulnerability in Import Functionality 受影响版本: Agiloft Release 19 至 Release 28 解决版本: Release 31 风险上下文: 利用需要对导入功能的访问,这仅限于通过RBAC的管理员用户。这大大减少了未经授权访问的风险。 缓解措施: 此漏洞在Release 31中完全解决。建议所有本地客户升级到此版本。 CVE-2025-35115: Default and Backdoor Credential Risk in On-Premise Installations 受影响版本: Agiloft Release 19 至 Release 29 解决版本: Release 30 风险上下文: 在本地安装期间不当配置可能导致使用默认凭据创建用户帐户。如果这些凭据未更改,攻击者可以通过直接利用它们或成功执行离线暴力破解攻击来提升特权。 缓解措施: 自Release 30起,通过强化帐户管理防止创建带有默认或未记录凭据的帐户。 CVE-2025-35116: Insecure Package Download in On-Premise Installations 受影响版本: Agiloft Release 19 至 Release 29 解决版本: Release 30 风险上下文: 如果Agiloft安装程序是从非官方来源获取的,或者安装是在不安全或不受信任的网络上进行的,则存在一个窗口,在此期间恶意行为者可能篡改下载的组件。 缓解措施: 从Release 30开始,所有必需的包都通过安全渠道从验证源下载,使用现代完整性验证方法。