关键信息 漏洞概述 CVE编号: CVE-2025-57644 漏洞类型: 远程代码执行 (RCE) 和服务器端请求伪造 (SSRF) 受影响产品: Accela Automation Platform 影响版本: 22.2.0.0.201909 发现者: Amir Khadir 技术细节 远程代码执行: 攻击者可以利用New-Script功能直接访问Java类,如 ,从而执行任意系统命令。 路径遍历和文件访问: 攻击者可以遍历目录并枚举或读取服务器上的文件,包括关键系统路径(如 )。 服务器端请求伪造 (SSRF): 攻击者可以发送恶意HTTP请求,导致内部网络暴露。 信息泄露: 攻击者可以获取进程列表、Java变量、环境变量和脚本内容对象。 影响 机密性: 泄露服务器环境和文件。 完整性: 修改系统状态或破坏服务。 可用性: 中断Accela服务器,可能导致服务中断。 总体风险: 高 (CVSS 9.1) 缓解措施 立即禁用New-Script功能。 应用严格的输入验证和清理在服务器端脚本执行中。 限制Accela服务器的网络访问以防止SSRF攻击。 部署基于主机的入侵预防来监控可疑进程执行。 尽快应用补丁更新。 时间线 2023年8月:漏洞被发现并验证。 2025年9月:CVE ID分配给CVE-2025-57644。 待定:公开披露和缓解策略。 参考资料 Accela官方文档 MITRE CVE记录 ``` 这些信息提供了关于CVE-2025-57644漏洞的关键技术细节、影响范围以及缓解措施,帮助安全团队理解和应对这一威胁。