关键漏洞信息 漏洞类型: CWE-532 (插入敏感信息到日志文件) 严重性: 中等 (CVSS v3 基本评分: 6.2/10) 受影响的包: com.erudika.para.server (Maven) 受影响版本: <1.50.7 修复版本: 1.50.8 CVE ID: CVE-2025-48955 CVSS v3 基本指标: - 攻击向量: 本地 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 无 - 可用性影响: 无 漏洞描述 受影响组件: Para Server 初始化日志记录 版本: Para v1.50.6 文件路径: para-1.50.6/para-server/src/main/java/com/erudika/para/server/utils/HealthUtils.java 易受攻击的行: 第132行(通过 记录根凭据) 技术细节 漏洞位于 HealthUtils.java 文件中,当配置文件写入失败时,会触发以下日志语句: 这会导致访问和秘密密钥在未进行遮蔽的情况下暴露在日志中。这些凭据在变量赋值中被重用以保持持久性,但不需要用于调试或系统健康目的的日志记录。