关键信息 漏洞详情 CVE-ID: CVE-2025-51536 产品: OpenAtlas 制造商: Austrian Academy of Sciences (Österreichische Akademie der Wissenschaften) 受影响版本: <= 8.11.0 修复版本: 8.12.0 CVSS v3.1: 9.8 Critical CWE: CWE-1932 参考链接: - OpenAtlas Release Notes - NVD (National Vulnerability Database) - EUVD (European Union Vulnerability Database) 漏洞描述 问题: 默认安装中存在一个硬编码的管理员账户 ,在GitLab上公开可见。 影响: - 如果不更改密码,此全局已知登录将保持活动状态并拥有所有管理员权限。 - 外部攻击者可以立即注册并完全接管应用程序。 制造商声明 新安装不会创建任何用户(通过安装),并且创建管理员用户时会提示设置新密码。 解决此漏洞以排除管理员用户的唯一方法是一次性完成。 推荐措施 更新到版本 [8.12.0] 临时缓解:更改管理员密码 时间线 2025年5月19日: 在On-Premise测试中发现漏洞。 2025年5月21日: 第一次联系制造商。 2025年5月22日: 收到确认回复。 2025年5月26日: 报告发送给制造商。 2025年6月9日: 制造商确认漏洞已被修复。 2025年6月10日: 安排复测。 2025年6月12日: 复测成功,报告更新并发送给制造商。