关键漏洞信息 1. 漏洞概述 CVE编号: CVE-2025-27222 CVSS评分: 9.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/C:HI/I:N/A:SC/HI/K:S4/N) 产品: TRUFusion Enterprise 厂商URL: https://www.rocketsoftware.com/en-us/products/b2b-supply-chain-integration/trufusion 发现日期: 2025-RQ-12 发布日期: 2025-RQ-30 2. 漏洞详情 描述: TRUFusion Enterprise的 端点存在路径遍历漏洞。当处理HTTP GET参数 时,由于应用程序未正确过滤路径遍历序列,攻击者可以检索PLM系统中TRUFusion用户可访问的CAD或CAE文件及相关产品设计数据的内容。 影响: 成功利用此漏洞可能允许未认证的攻击者泄露敏感信息,如清晰文本凭据、访问日志和源代码。 3. 影响版本 受影响版本: TRUFusion Enterprise <= 7.16.4.0 4. 解决方案 修复版本: 更新到以下TRUFusion Enterprise版本之一: - 7.20.8.1 - 7.16.1.1 - 7.16.2.1 - 7.16.0.9 - 7.16.3.0 - 7.9.4.9 - 7.9.6.1 - 7.9.4.8 - 7.9.3.0 - 7.9.3.1 - 7.9.2.1 - 7.9.0.4.1 - 7.9.0.9 - 7.16.2.0 5. 报告时间线 发现日期: 2025-RQ-12 报告日期: 2025-RQ-20 最终披露日期: 2025-RQ-30 6. 参考链接 RCE Security公告 Rocket Software页面