关键漏洞信息 漏洞详情 CVE编号: CVE-2025-63218 受影响厂商: Axel Technology 受影响产品及版本: - WOLF1MS: Firmware Version 0.8.5 到 1.0.3 - WOLF2MS: Firmware Version 0.8.5 到 1.0.3 脆弱接口: 漏洞类型 分类: Broken Access Control 具体问题: Improper Authorization 漏洞影响 严重性: 高 可能的攻击行为: - 列出现有用户账户 - 添加新管理员用户 - 删除现有用户 - 完全控制设备 受影响组件 访问控制: 直接访问敏感管理接口而无需认证 用户管理: 在无认证的情况下添加、修改或删除用户账户 权限提升: 攻击者可获得设备的管理员控制权 攻击向量 访问方式: 远程,通过HTTP 认证需求: 无需认证(未认证) 利用复杂度: 低,简单HTTP请求即可 证明概念(PoC) 包括列表现有用户、添加新管理员用户、验证新用户存在、删除现有用户的攻击示例,以及Python脚本自动化攻击过程。 漏洞类型信息 类型: Broken Access Control CWE编号: CWE-284 (Improper Access Control) 类型: Improper Authorization CWE编号: CWE-285 (Improper Authorization) 建议修复方案 包括实施强制认证、强化访问控制、保证会话管理和输入验证等措施。 缓解与临时解决办法 在发布补丁前,管理员应限制接口的访问、监测网络流量、要求使用VPN或禁用公共访问等预防措施。