关键漏洞信息 漏洞概述 漏洞编号: CVE-2025-63219 漏洞类型: 会话劫持 影响产品: ITEL ISO FM SFN Adapter 影响版本: - WebServer: 2.0 - Firmware: ISO2 2.0.0.0 漏洞描述 ITEL ISO FM SFN Adapter (固件版本: ISO2 2.0.0.0, WebServer 版本: 2.0) 在 端点存在会话管理不当的问题,导致未授权用户可以访问活跃会话,进而控制设备、修改配置和危及系统完整性。 影响 严重性: 高 描述: - 攻击者可以通过 端点在没有授权的情况下访问活跃会话。 - 已认证用户若有活跃会话,攻击者可自动获得系统访问权限。 - 可导致未授权控制设备、修改系统设置和潜在服务中断。 攻击向量 访问方式: 直接导航至 认证需求: 无(攻击者无需登录即可) 利用复杂性: 非常低 漏洞类型信息 类型: 会话劫持 / 访问控制失效 CWE-ID: - CWE-384 - 会话固定 - CWE-306 - 关键功能缺少认证 定义: 端点未强制执行认证,允许未验证的活跃会话进行未授权访问。 发现者 Mohamed Shahat 建议修复措施 1. 实现正确的会话管理: 要求认证后再访问 。 2. 使用安全会话Cookie: 会话过期设置和安全Cookie防止未授权访问。 3. 强制基于角色的访问控制(RBAC): 仅限认证用户访问。 缓解与变通方案 在补丁发布前,管理员应: 限制对 的访问,使用防火墙规则或Web服务器配置。 启用超时后的强制登出。 手动监控活跃会话并清除未授权登录。