关键漏洞信息 1. 漏洞概述 CVE编号: CVE-2025-27224 CVSSv3评分: 10.0 (严重) CWE编号: CWE-22 (路径遍历) 2. 影响的产品和版本 产品: TRUFusion Enterprise 受影响版本: <= 7.16.4.8 3. 漏洞细节 漏洞类型: 路径遍历 描述: TRUFusion Enterprise的 端点存在路径遍历漏洞,攻击者可以通过构造恶意的HTTP GET请求参数 来写入任意文件到可写目录。 4. 利用方式 利用方法: 成功利用此漏洞可以允许未认证的攻击者远程执行任意代码。 示例请求: 5. 解决方案 修复版本: 升级到以下TRUFusion Enterprise版本之一: - 7.16.1.1 - 7.16.3.1 - 7.16.4.0 - 7.16.5.0 - 7.6.x.N - 7.9.6.1 - 7.9.8.4 - 7.9.3.8 - 7.9.3.1 - 7.9.5.1 - 7.16.0.1 - 7.9.5.6 - 7.16.2.0 6. 时间线 发现日期: 2025年2月12日 公开披露日期: 2025年8月25日