用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息: 1. 漏洞概述 (Summary/Description): 这是一个关于Jujutsu (jj) 控制器的漏洞。 2. 影响范围 (Affected versions): 截图里明确列出了受影响的版本。 3. 修复方案 (Patched versions): 截图里明确列出了修复后的版本。 4. POC/利用代码: 我需要仔细检查页面内容,看是否有代码块。 在 "PoC" 部分,有一段文字描述 "Leaving a proof of concept for the moment...",但这只是文字描述,没有具体的代码块。 在 "Details" 部分,提到了 和 的用途,但这也不是代码。 在 "Impact" 部分,只是文字描述。 结论:页面中没有具体的代码块(Code block),只有文字描述。 详细提取内容: 标题: Read All Controller Logs From Compromised Workload Severity: Moderate (中等) CVE ID: CVE-2025-48132 Summary: 如果攻击者控制了工作负载机器(workload machine),他们可以通过 jj 控制器读取任何实体在任何模型下的任何日志文件。 Details: 受攻击的工作负载机器可以获取控制器和模型下的日志。 攻击者可以利用这些信息作为进一步攻击的信号,或者泄露敏感信息(如调试和跟踪日志)。 攻击者还可以从日志中窃取凭据(credentials)。 提到了 是端点的授权者, 是检查授权者的地方, 和 是攻击者可以获取日志的地方。 PoC: 页面提到 "Leaving a proof of concept for the moment...",并描述了如果攻陷工作负载机器,可以访问 文件获取凭据,然后用它来获取任何部分的调试日志。但这部分没有具体的代码块。 Impact: 询问了这种漏洞影响了什么(What kind of vulnerability is this?)。 Affected versions: 2.9.3, 6.4.0 Patched versions: 2.9.5, 3.6.1.19 构建 Markdown 总结: 漏洞标题: Read All Controller Logs From Compromised Workload CVE ID: CVE-2025-48132 严重程度: Moderate 漏洞概述: 攻击者若控制了工作负载机器(workload machine),即可通过 jj 控制器读取任何实体在任何模型下的所有日志文件。这可能导致敏感信息(如调试日志、跟踪日志)泄露,甚至窃取凭据。 影响范围: 版本 2.9.3, 6.4.0 修复方案: 升级到版本 2.9.5, 3.6.1.19 POC/利用代码: 页面未提供具体的代码块,仅提供了概念性描述(PoC):攻陷工作负载机器 -> 访问 获取凭据 -> 使用凭据获取调试日志。 检查一遍,确认没有遗漏关键信息,且符合“简洁”、“中文”、“markdown”的要求。 漏洞总结:Read All Controller Logs From Compromised Workload CVE ID: CVE-2025-48132 严重程度: Moderate (中等) 漏洞概述 该漏洞允许攻击者在攻陷工作负载机器(workload machine)后,通过 控制器读取任何实体在任何模型下的所有日志文件。 风险: 攻击者可以利用日志作为进一步攻击的信号,泄露敏感信息(如调试和跟踪日志),甚至从日志中窃取凭据(credentials)。 原理: 受攻击的工作负载机器拥有足够的权限(如 授权)来访问控制器和模型的日志。 影响范围 受影响版本: 2.9.3, 6.4.0 修复方案 已修复版本: 2.9.5, 3.6.1.19 POC / 利用描述 页面未提供具体的代码块,仅提供了概念性利用路径(PoC): 1. 攻陷工作负载机器。 2. 访问 文件以获取凭据。 3. 利用这些凭据获取控制器任何部分的调试日志。