关键漏洞信息 漏洞概述 CVE ID: CVE-2025-47423 发现者: Matthew Eagle 状态: 公开披露 报告日期: 2025-05-05 漏洞详情 漏洞类型: 本地文件包含 (LFI) 受影响组件: Personal Weather Station Dashboard 版本 12_lts 受影响文件: /others/_test.php 易受攻击参数: test (通过 GET) 影响 远程攻击者可以: - 读取文件系统上的任意文件 - 暴露私有 SSL 密钥(例如,server.key) - 执行中间人攻击 (MITM) - 冒充 HTTPS 服务器 CVSS 评分: 严重(基础评分 ~9.8) 概念验证 (PoC) 易受攻击的代码(简化版) 不足以防止目录遍历。 安全修复建议 使用严格的白名单限制包含目标 使用 净化输入并检查允许的文件 避免基于用户输入的动态包含 时间线 缓解措施 立即删除或更新 _test.php 实施带有文件白名单的修复脚本 重新签发任何被破坏的 TLS 证书 参考资料 CVE-2025-47423 on MITRE (pending) GitHub 上发布的公告 致谢 漏洞由 Matthew Eagle 发现并负责任地披露 联系方式: meagle2006@gmail.com