以下是关于漏洞的关键信息,从提供的网页截图中提取并以简洁的Markdown格式呈现: 漏洞信息 CVE ID: CVE-2025-66385 发布日期: 2025-11-12 更新日期: 2025-11-28 状态: PUBLISHED CVSS 4.0 基本评分: 9.4 CVSS 3.1 向量字符串: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS 3.1 向量字段释义: - 未定义 (NOT_DEFINED): Automatable, Recovery, Safety, ValueDensity, VulnerabilityResponseEffort - 基本严重性 (BaseSeverity): CRITICAL - 攻击复杂度 (AttackComplexity): LOW - 攻击条件 (AttackRequirements): NONE - 攻击向量 (AttackVector): NETWORK - 交互需求 (UserInteraction): NONE - 提供者紧急程度 (ProviderUrgency): NOT DEFINED - 特权要求 (PrivilegesRequired): HIGH - 子可用性影响 (SubAvailabilityImpact): HIGH - 子保密性影响 (SubConfidentialityImpact): HIGH - 子完整性影响 (SubIntegrityImpact): HIGH 影响产品 产品名称: Cerebrate 供应商: Cerebrate 版本: - 受影响的小于版本: 1.30 漏洞描述 标题: Cerebrate Project 中的权限提升漏洞允许认证的非特权用户通过在 edit 请求中提供或修改 role_id/organisation_id 字段,使用用户编辑端点来提升他们的权限(如获得更高权限,例如管理员)。 意外条件(问题类型) CWE-269 不当权限管理 解决方案 标题: Cerebrate 中的权限提升允许认证的非特权用户提升他们的权限。 引用 GitHub Commit 链接: GitHub 贡献者 发现者: ENISA 修复开发者: Sami Mokaddem 协调者: Alexandre Dulaunoy