关键信息 漏洞标题: Unrestricted uploading of dangerous file types to AvePoint products 发布日期: 26/09/2025 标识符: INCIBE-2025-0520 重要性: 4 - High 受影响资源 DocAve 6.13.2 Perimeter 1.12.3 Compliance Guardian 4.7.1 和更早版本 描述 INCIBE 协调发布了影响 AvePoint 的 DocAve、Perimeter 和 Compliance Guardian 的高严重性漏洞,这些产品管理并备份 SharePoint/M365 中的内容,控制和保护云中的数据访问,并对敏感信息进行分类和安全处理以符合监管合规要求。该漏洞由 Chetani Mesa Guzman 和 Marcos Diaz Castineiras 发现。 此漏洞被分配了以下代码:CVSS v4.0 基本分数、CVSS 向量和 CWE 漏洞类型: CVE-2025-10544: CVSS v4.0: 8.6 解决方案 升级到最新版本的 DocAve (6.13.3): - DocAve 6.13.3 Manager 安装包: 6.13.3 manager package. - DocAve Agent 6.13.3 安装包: Agent Package 6.13.3. - DocAve 6.13.3 更新包: Update Package 6.13.3. 升级到最新版本的 Perimeter (1.12.4): - Perimeter 1.12.4 管理员和代理安装包: Package 1.12.4. - Perimeter 1.12.4 更新包: Update package 1.12.4. 在 Compliance Guardian Manager 服务器上安装补丁: - Compliance Guardian Manager 补丁: Compliance Guardian Manager patch. 详细信息 CVE-2025-10544: DocAve 6.13.2、Perimeter 1.12.3、Compliance Guardian 4.7.1 和更早版本中的无限制文件上传漏洞,允许管理员用户在没有适当验证的情况下上传文件。攻击者可以利用此漏洞通过上传恶意文件来破坏系统。此外,它还容易受到路径遍历的影响,这允许文件写入 Web 根目录内的任意目录。 CWE 引用列表 DocAve, Compliance Guardian, and Perimeter Security Notice