关键漏洞信息 漏洞概述 CVE编号: CVE-2025-27566, CVE-2025-32999, CVE-2025-36560, CVE-2025-41429 受影响产品: a-blog cms by appleple inc. 影响版本: - a-blog cms versions prior to Ver. 3.1.43 (Ver. 3.1.x series) - a-blog cms versions prior to Ver. 3.0.47 (Ver. 3.0.x series) - a-blog cms versions prior to Ver. 2.11.75 (Ver. 2.11.x series) - a-blog cms versions prior to Ver. 2.10.63 (Ver. 2.10.x series) - a-blog cms versions prior to Ver. 2.9.52 (Ver. 2.9.x series) - a-blog cms versions prior to Ver. 2.8.85 (Ver. 2.8.x series) 漏洞详情 路径遍历 (CVE-2025-27566): CVSS Base Score 5.1 和 3.8,需要管理员权限。 跨站脚本攻击 (CVE-2025-32999): CVSS Base Score 4.0 和 5.4,需要贡献者或更高权限。 服务器端请求伪造 (CVE-2025-36560): CVSS Base Score 9.2 和 8.6。 日志输出不正确中和 (CVE-2025-41429): CVSS Base Score 2.1 和 4.8。 影响 可以检索或删除服务器上的任何文件。 可以在登录产品的用户的Web浏览器上执行任意脚本。 处理特殊制作的请求可能允许访问敏感信息。 这些漏洞的组合可能允许攻击者劫持合法用户的会话。 解决方案 更新软件: 更新到最新版本。 应用变通方法: 开发者提供了针对CVE-2025-36560和CVE-2025-41429的变通方法。 报告者 CVE-2025-27566, CVE-2025-32999: haidv35 (Dinh Viet Hai) CVE-2025-36560, CVE-2025-41429: vcth4th from VCSSLab of Viettel Cyber Security (Vu Chi Thanh)