关键漏洞信息 漏洞概述 发布日期: 2025-07-22 更新日期: 2025-12-04 漏洞状态: 已解决 严重性: 重要 摘要: Synology 为 BeeDrive 桌面工具发布了安全更新,以解决多个漏洞。 具体漏洞 1. CVE-2025-54158 - 严重程度: 重要 - CVSS3 基础评分: 7.8 - CVSS3 矢量: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - CWE-306: 重要功能缺少认证 - 描述: BeeDrive 1.4.2-13960 之前版本的 BeeDrive for desktop 在关键函数中缺少认证,允许本地用户通过未指定的向量执行任意代码。 2. CVE-2025-54159 - 严重程度: 重要 - CVSS3 基础评分: 7.5 - CVSS3 矢量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N - CWE-862: 缺少授权 - 描述: BeeDrive 1.4.2-13960 之前版本的 BeeDrive for desktop 存在缺少授权的漏洞,允许远程攻击者通过未指定的向量删除任意文件。 3. CVE-2025-54160 - 严重程度: 重要 - CVSS3 基础评分: 7.8 - CVSS3 矢量: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - CWE-22: 路径遍历 - 描述: BeeDrive 1.4.2-13960 之前版本的 BeeDrive for desktop 路径名限制不当,允许本地用户通过未指定的向量执行任意代码。 解决方案 修复版本: 升级到 1.4.2-13960 或更高版本 致谢 CVE-2025-54158: 赵闰梓、李建申 CVE-2025-54159、CVE-2025-54160: 赵闰梓