关键漏洞信息 漏洞详情 CVE-2025-36274 - 描述: IBM Aspera HTTP Gateway以明文形式存储敏感信息在容易获取的文件中,这些文件可以被未认证的用户读取。 - CWE: CWE-312: Cleartext Storage of Sensitive Information - CVSS Base Score: 7.5 - CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) CVE-2025-47908 - 描述: 中间件在处理包含多个值的Access-Control-Request-Headers (ACRH)头的恶意预检请求时会导致大量的堆分配。这种行为可以被攻击者滥用以产生对中间件/服务器的拒绝服务。 - CWE: CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion') - CVSS Base Score: 7.5 - CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:A/N) CVE-2025-22870 - 描述: 匹配主机名的代理模式可能会错误地将IPv6区域ID视为主机名组件。例如,当NO_PROXY环境变量设置为"example.com"时,对"[::1%25.example.com]:80"的请求将不正确匹配且不会被代理。 - CWE: CWE-215: Improper Interpretation of Input - CVSS Base Score: 4.4 - CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L) CVE-2024-45339 - 描述: 攻击者可以构造一个输入到Parse函数中,该函数将以非线性方式处理,导致极其缓慢的解析过程,这可能导致拒绝服务。 - CWE: CWE-1333: Inefficient Regular Expression Complexity - CVSS Base Score: 5.3 - CVSS Vector: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L) 影响的产品和版本 受影响产品: Aspera HTTP Gateway 版本: 2.0.0 - 2.3.2 缓解措施/修复 建议升级到版本: 2.3.2 工作区和缓解措施 无** 参考资料 完整的CVSS v3指南 在线计算器v3