关键信息 漏洞概述 漏洞类型: 任意文件上传 (Arbitrary file upload) 产品: FreeScout 受影响版本: <1.8.179 修复版本: 1.8.179 CVE ID: CVE-2025-48471 CWE ID: CWE-434 (Unrestricted Upload of File with Dangerous Type) 描述 描述: 应用程序未检查或对上传到应用程序的文件进行不充分检查,允许攻击者上传任意文件,包括包含恶意代码的可执行文件。 易受攻击的场景: 易受攻击的参数: POST file 利用条件: 授权用户; Apache web服务器 CVSS v4 基本指标 严重性: 高 (7.0/10) 攻击向量: 网络 攻击复杂度: 低 攻击要求: 无 所需权限: 高 用户交互: 无 机密性影响: 高 完整性影响: 低 可用性影响: 低 弱点 弱点: CWE-434 缓解措施 在加载之前,必须使用编程语言或框架提供的方法将文件名和扩展名与“白名单”进行检查。 所有上传文件的内容应在对Web应用程序用户可用之前进行验证。 在上传具有已存在文件名称的文件时,防止自动覆盖文件。 研究人员 Artem Deikov, Ilya Tsaturou, Danill Satyaev, Roman Cheremykh, Artem Danilov, Stanislav Gleym (Positive Technologies)