从该网页截图中可以获取到以下关于漏洞的关键信息: TVN ID: - TVN-202511009 CVE ID: - CVE-2025-13282 - CVE-2025-13283 CVSS: - CVE-2025-13282: 8.1 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H - CVE-2025-13283: 7.1 (High) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:L Affected Products: - TenderDocTransfer before version 0.41.159 Description: - CVE-2025-13282:任意文件删除漏洞。TenderDocTransfer应用程序设立了一个简单的本地网络服务器,并提供了用于与目标网站通信的APIs。由于API中缺少CSRF防护,未授权的远程攻击者可以通过钓鱼使用这些API。此外,其中一个API包含绝对路径遍历漏洞,使攻击者能够删除用户系统上的任意文件。 - CVE-2025-13283:任意文件复制和粘贴漏洞。TenderDocTransfer应用程序设立了一个简单的本地网络服务器,并提供了用于与目标网站通信的APIs。由于API中缺少CSRF防护,未授权的远程攻击者可以通过钓鱼使用这些API。此外,其中一个API包含绝对路径遍历漏洞,使攻击者能够在用户的系统上复制任意文件并粘贴到任何路径,存在信息泄露的风险或通过复制大量文件消耗硬盘空间。 Solution: - 更新到0.41.159版本及以后版本。 Credit: - 赵伟恒(NTNU) Public Date: - 2025-11-17 Link: - CVE-2025-13282 - CVE-2025-13283