漏洞关键信息 概要 标题: RES web portal may display preview of Virtual Desktops that the user shouldn't have access to 发布者: salmazay 发布日期: 3天前 漏洞ID: GHSA-x3cx-g8g9-75hv CVE ID: CVE-2025-12815 严重性 严重程度: 中等 (4.3/10) CVSS v3 base metrics: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: Low - User Interaction: None - Scope: Unchanged - Confidentiality: Low - Integrity: None - Availability: None 影响 漏洞描述: - 安全性和工程工作室 (RES) on AWS 是一个开源的、易于使用的基于网络的门户,允许管理员创建和管理安全的基于云的研究和工程环境。在某些情况下,RES web portal 可能会显示用户不应访问的虚拟桌面的预览。 - "我的虚拟桌面"页面在 RES web portal 中错误地允许用户预览所有虚拟桌面,只要虚拟桌面的所有者名称包含用户的用户名。例如,用户管理员可以查看用户 clusteradmin 的所有虚拟桌面,而无需权限。 受影响的版本: = 2025.09 建议: 更新到最新版本并确保任何派生代码也包含新的修复。 弱点 无CWE 额外信息 如果有任何问题或评论,请通过 vulnerability reporting page 或直接联系 aws-security@amazon.com。不要在公共 GitHub issue 中创建问题。