关键信息: 漏洞名称: 严重性: HIGH 日期: December 22, 2025 受影响的版本: - Impact/Pulse/First Version 2: 1.1/2.15, Version 2: 1.1/2.15 - Impact/Pulse Eco: 1.16 - BigVoice4: 1.2 - BigVoice2: 1.30 - SMC Stream: 1.1/2.4.29 - Eco VM2: 1.11 漏洞编号: VULNM-2023-53962 漏洞类型: CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CVSS评分: 8.8 CVSS V4向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:L/SC:N/SI:N/SA:N 相关链接: - ExploitDB-51172 - SOUND4 Official Product Homepage - Zero Science Lab Disclosure (ZSL-2022-5730) 发现者: LiquidWorm as Gjoko Krstic of Zero Science Lab 漏洞描述: SOUND4 IMPACT/FIRST/PULSE/Eco v2.x 存在一个未经身份验证的目录遍历漏洞,允许远程攻击者通过 脚本中的 'upgfile' 参数写入任意文件。攻击者可以通过发送包含目录遍历序列的精心设计的 multipart form-data POST 请求来利用此漏洞,在系统上写入到意外的位置。