关键信息 漏洞概述 CVE: CVE-2025-64056 漏洞类型: 未认证任意文件写入 受影响产品: Fanvil x210 V2, firmware V2.12.20 影响: 攻击者可以在本地网络上存储任意文件,修改设备的文件系统和正常行为。 漏洞细节 问题文件及路径: - (字体文件目标路径) - (翻译文件目标路径) 问题原因: - 上传自定义字体和翻译文件时,系统未对目标路径进行验证或正确清洗。 - web服务以root权限运行,导致攻击者可编写任意位置的文件。 概念验证(PoC) 影响 通过利用该漏洞,攻击者可以修改设备的文件系统并影响其正常行为。 修复情况 已修复固件版本: v2.12.22.2。 披露时间线 2025年3月1日: 发现漏洞 2025年3月4日: 接触厂商 2025年11月25日: 正式披露