关键漏洞信息 漏洞概述 JVN编号: JVN#30641875 标题: BizRobo! 中的多个漏洞 发布日期: 2025/04/10 更新日期: 2025/04/10 影响产品 CVE-2025-31362, CVE-2025-31932: BizRobo! 所有版本 CVE-2013-7285: BizRobo! v11.1 及更早版本 描述 硬编码加密密钥的使用 (CVE-321) - CVSSv3.0 基本分数: 3.7 - 机器人文件可能包含凭据信息,这些凭据使用相同的单个密钥加密。 导入功能中对不受信任数据的反序列化 (CVE-502) - CVSSv3.0 基本分数: 7.2 - 管理控制台包含旧版本的 XStream 库,易受不受信任数据反序列化的影响。 Design Studio 许可授权中的不受信任数据反序列化 (CVE-502) - CVSSv3.0 基本分数: 8.8 - 管理控制台作为 Design Studio 的许可服务器,易受不受信任数据反序列化的影响。 影响 如果加密密钥可用,机器人文件中的凭据可能会被获取 (CVE-2025-31362) 在管理控制台上执行任意代码 (CVE-2013-7285, CVE-2025-31932) 解决方案 CVE-2025-31362, CVE-2025-31932: 应用开发者提供的变通方法。 CVE-2013-7285: 更新软件或应用开发者提供的变通方法。 厂商状态 厂商: OPEN, Inc. 链接: 提供了关于硬编码加密密钥、Java XStream 库和 MC 许可服务器上的任意代码执行的日文说明。 引用 JPCERT/CC Addendum JPCERT/CC 的漏洞分析 致谢 Masamu Asato 报告了此漏洞给 IPA。