关键漏洞信息 漏洞概述 标题: Privilege Escalation by Authenticated Users 严重性: High (8.1/10) CVE ID: CVE-2025-59945 CVSS v3 基本指标: - 攻击向量: Network - 攻击复杂度: Low - 所需权限: Low - 用户交互: None - 范围: Unchanged - 机密性影响: High - 完整性影响: High - 可用性影响: None 影响 描述: 认证且无特权(非管理员)用户可以将 权限分配给自己的用户。这允许用户读取、修改和删除他们不是成员的渗透测试项目,这些项目不应该被访问。 受影响版本: 2024.74-2025.81 修复版本: 2025.83 利用迹象 云安装: 未发现此漏洞在 SysReptor 云安装中被利用的迹象。 检查方法: - 在 Web 界面或命令行中检查是否有用户具有 "Project Admin" 权限。 - 使用以下命令行脚本检查: - 如果输出为 ,则没有用户具有此权限。 - 如果输出大于零,检查这些用户是否应该具有此权限。 时间线 报告时间: 2025年9月26日 2:44pm,匿名报告 修复时间: 2025年9月26日 4:56pm,修复于 2025.83 版本 云安装更新: 云安装在发布后立即更新。