关键漏洞信息 标题: Longjing Technology BEMS API <= 1.21 Remote Arbitrary File Download 严重性: HIGH 日期: November 12, 2025 影响范围: - Battery Energy Management System (BEMS) API <= 1.21 - 受影响版本范围未定义 CVE: CVE-2021-4463 CWE: - CWE-22: 不适当的路径名限制到受限目录(路径遍历) - CWE-552: 文件或目录对外部方开放 CVSS评分: 8.7 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 参考链接: - Zero Science Lab Disclosure - ExploitDB-50163 - Packet-Storm-Security-163702 - CXSecurity-WLB-2021070173 - IBM-X-Force-206477 - Longjing Technology Product Site 发现者: Gjoko Krstic of Zero Science Lab 描述: Longjing Technology BEMS API 在版本 1.21 及以下版本中,在 'downloads' 终端中包含一个未经身份验证的任意文件下载漏洞。 'fileName' 参数未进行适当的清理,允许攻击者构造遍历序列并访问目标目录外的敏感文件。