以下是通过分析该网页的内容获取到的关于漏洞`MNDT-2026-0003`的关键信息列表: - **漏洞描述**:`Explorance Blue`版本在`8.14.9`之前,在管理接口中存在身份验证后的无限制文件上传漏洞。由于应用程序没有充分限制上传的文件类型,所以攻击者可以上传并执行恶意文件。这在默认配置下将导致远程代码执行。 - **影响**:身份验证的攻击者可以上传具有可控文件名和扩展名的文件,导致服务器上的任意文件写入,进而远程执行代码。 - **利用难度**:中等。利用该漏洞需要认证访问并具有足够的权限和构造恶意负载的能力。 - **CVE ID**:`CVE-2025-57794` - **公共弱点枚举**:`CWE-434:无限制上传带有危险类型的文件` - **漏洞细节**:该漏洞源于文件上传限制的不足执行。尽管存在某些验证检查,但它们无法防止特殊制作的恶意文件上传。具有管理权限的攻击者可以利用这个漏洞在服务器上放置可执行代码,进而完全触发远程代码执行。 - **CVSS评分**:`CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H` - **修复方案**:该问题已在`Explorance Blue`版本`8.14.9`中被修复。 - **发现贡献者**:`Mandiant`公司的`Abdulrahman Nour` - **披露时间线**: - 2025年4月28日:向`Explorance`提交初始报告 - 2025年5月2日:发布初始补丁 - 2025年5月6日:向客户发布最终补丁 - **参考链接**: - [Explorance Blue官网](exploarance link) - [CVE.org -CVE-2025-57794](CVE link) - [Explorance Blue安全公告,2026年1月](security notice January 2026 link) - [Explorance Blue安全公告 , CVE-2025-57794](specific CVE notice link)