关键信息 漏洞概述 安全ID: QSA-25-22 发布日期: 2025年8月29日 CVE标识符: CVE-2025-29893, CVE-2025-29894, CVE-2025-29898, CVE-2025-30260, CVE-2025-30275, CVE-2025-30277, CVE-2025-30278, CVE-2025-33033, CVE-2025-33036, CVE-2025-33037, CVE-2025-33038 受影响产品: Qsync Central 4.5.x 严重性: 重要 状态: 已解决 漏洞详情 CVE-2025-29893, CVE-2025-29894: 远程攻击者在获取用户账户访问权限后,可利用SQL注入漏洞执行未经授权的代码或命令。 CVE-2025-29898: 远程攻击者在获取用户账户访问权限后,可利用不受控制的资源消耗漏洞发起拒绝服务(DoS)攻击。 CVE-2025-30260: 远程攻击者在获取用户账户访问权限后,可利用资源分配无限制或节流漏洞阻止其他系统、应用程序或进程访问同一类型的资源。 CVE-2025-30275: 远程攻击者在获取用户账户访问权限后,可利用空指针解引用漏洞发起拒绝服务(DoS)攻击。 CVE-2025-30277, CVE-2025-30278: 远程攻击者在获取用户账户访问权限后,可利用不正确的证书验证漏洞危及系统安全。 CVE-2025-33033, CVE-2025-33036, CVE-2025-33037, CVE-2025-33038: 远程攻击者在获取用户账户访问权限后,可利用路径遍历漏洞读取意外文件或系统数据。 解决方案 修复版本: Qsync Central 4.5.0.7 (2025/04/23) 及后续版本 推荐措施 更新Qsync Central至最新版本以修复漏洞。