关键漏洞信息 漏洞概述 发布日期: 2023年5月21日 报告来源: 报告给CERT Polska 受影响版本: 所有低于2.17.5的版本 漏洞详情 CVE-2025-1415 类型: 不正确的授权 (CWE-863) 描述: 低权限用户可以获取Proget MDM上执行的任务信息以及受控设备的详细信息,如UUIDs,这些信息可用于CVE-2025-1416的利用。 CVE-2025-1416 类型: 不正确的授权 (CWE-863) 描述: 在Proget MDM中,低权限用户可以检索已管理设备的密码并随后使用功能恢复到工厂设置。为此,他们必须知道目标设备的UUIDs,这些可能通过利用CVE-2025-1415获得。 CVE-2025-1417 类型: 不正确的授权 (CWE-863) 描述: 在Proget MDM中,低权限用户可以访问所有由MDM管理的设备备份中的更改信息,包括用户ID、电子邮件地址、名字、姓氏和设备UUIDs。最后一种信息可用于CVE-2025-1416的利用。 CVE-2025-1418 类型: 不正确的授权 (CWE-863) 描述: 低权限用户可以访问Proget MDM中创建的配置文件的信息,其中包含关于允许/禁止的功能的细节。配置文件不显示任何敏感信息(包括使用的连接设备)。 CVE-2025-1419 类型: Web页面生成期间输入的不当中和 (XSS或跨站脚本) (CWE-79) 描述: 输入评论部分的Konsola Proget未正确进行中和,允许高权限用户执行存储的跨站脚本攻击。 CVE-2025-1420 类型: Web页面生成期间输入的不当中和 (XSS或跨站脚本) (CWE-79) 描述: 输入字段 在Konsola Proget中未正确进行中和,允许高权限用户执行存储的跨站脚本攻击。 CVE-2025-1421 类型: CSV文件中公式元素的不当中和 (CWE-1236) 描述: 请求中提供的数据在激活新设备时被放入数据库。其他高权限用户可能会将此数据作为CSV文件下载并打开它,例如在Microsoft Excel中,攻击者可以通过这种方式远程访问用户的PC。 修复 修复版本: 2.17.5版Proget 致谢 报告者: Marcin Węglowski (AFINE)