关键漏洞信息 1. 漏洞详情 影响厂商: Xorux 影响产品: XorMon-NG 影响版本: 1.0 及之前版本 CVE ID: CVE-2025-5476 CWE 分类: CWE-648: 不正确使用特权 API 2. 漏洞描述 一个应仅限于 Web 应用程序管理员访问的 API 端点,却隐藏在普通只读用户可访问的位置。该端点可以导出设备配置,暴露敏感信息。 3. 技术描述 只读用户可以通过一个未被记录的 Web 应用程序端点访问设备导出功能。此功能会导出包含所有用户密码哈希和云凭据明文的文件。攻击者可以利用此漏洞获取并尝试破解密码哈希,包括管理员用户的密码。此外,攻击者还可以利用此漏洞访问云基础设施。 4. 缓解和修复建议 Xorux 发布了版本 1.9.3b,其中包含了对此漏洞的修复。详见:https://xorux.com/note108.php 5. 致谢 此漏洞由 KoreLogic, Inc. 的 Jin Becher 发现。 6. 披露时间线 2025-07-17: Korelogic 请求与 Xorux 联系以安全报告多个漏洞。 2025-07-18: 厂商提供支持联系人,但不使用 PGP。 2025-07-21: Korelogic 提交此漏洞和其他四个漏洞的详细信息。 2025-07-23: 厂商确认收到报告,并表示问题已修复,新版本将于 2025-07-25 发布。 2025-07-25: Xorux 发布受影响产品的更新版本。 2025-07-28: Korelogic 公开披露此漏洞。 7. 概念验证 (PoC) 提供了用于测试漏洞的 curl 和 gpg 命令示例。