关键信息 漏洞描述 CVE-2025-27258: Ericsson Network Manager (ENM) 版本在 25.1 GA 之前存在漏洞,可能导致权限提升。 - CVSS 基础分数: 6.9 - 严重性: 中等 - CVSS 向量: CVSS:3.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:I/VN:V/VA:N/SC:N/SI:N/SA:N - 弱点类型: CWE-284: 不当访问控制 CVE-2025-27259: Ericsson Network Manager 版本在 25.2 GA 之前存在漏洞,可能导致有限数据泄露或重定向受害者到其他站点或域。 - CVSS 基础分数: 2.4 - 严重性: 低 - CVSS 向量: CVSS:3.0/AV:A/AC:L/AT:N/PR:L/UI:A/VC:L/VL:E/VA:N/SC:N/SI:N/SA:N - 弱点类型: CWE-79: 在 Web 页面生成期间不当中和输入(跨站脚本) 安全更新 受影响产品及版本: - CVE-2025-27258: Ericsson Network Manager, 所有版本至 25.1, 更新版本为 25.1 或更高 - CVE-2025-27259: Ericsson Network Manager, 所有版本至 25.2, 更新版本为 25.2 或更高 缓解措施 参见上述解决方案以安装相应版本。 致谢 感谢 TIM Security Red Team Research 的以下人员报告这些问题: - Andrea Carlo Maria Dattola - Cristina Coppola - Carlo Ponimulo - Massimiliano Brilli