EasyFlow GP 凭证泄露与DoS漏洞 (CVE-2025-13163/13164/13165)

漏洞的关键信息 TVN ID: TVN-202511008 CVE ID: - CVE-2025-13163 - CVE-2025-13164 - CVE-2025-13165 CVSS: - CVE-2025-13163: 4.9 (Medium) - CVE-2025-13164: 4.9 (Medium) - CVE-2025-13165: 7.5 (High) 受影响产品: - EasyFlow GP 5.8.8.3至5.8.11.1.0810112: CVE-2025-13163, CVE-2025-13164, CVE-2025-13165 - EasyFlow GP 8.1.x至8.1.1.2: CVE-2025-13163, CVE-2025-13164 - EasyFlow GP 5.7.x至5.7.7.2: CVE-2025-13165 问题描述: - CVE-2025-13163: EasyFlow GP存在Insufficiently Protected Credentials漏洞，已取得管理权限的远程攻击者可于系统前端取得资料库明文帐号密码。 - CVE-2025-13164: EasyFlow GP存在Insufficiently Protected Credentials漏洞，已取得管理权限的远程攻击者可于系统前端取得AD与系统邮件明文帐号密码。 - CVE-2025-13165: EasyFlow GP存在Denial of Service漏洞，未经身分鉴别之远程攻击者可发送特定请求阻断网页服务。 解决方法: - 5.8.x版请更新至5.8.11.1.081013(含)以后版本 - 8.1.x版请更新至8.1.1.3(含)以后版本 - 5.7.x版请升级至未受影响版本或安装修补程式 漏洞通报者: - CVE-2025-13163, CVE-2025-13164: Tom Wang - CVE-2025-13165: Harry Tsai(安華聯網) 公开日期: 2025-11-17

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

EasyFlow GP 凭证泄露与DoS漏洞 (CVE-2025-13163/13164/13165)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！