平台
java
组件
lsfusion.platform:web-client
修复版本
6.0.1
6.1.1
6.1.1
CVE-2025-13262 是一种路径遍历漏洞,影响 lsfusion platform 的 web-client 组件。攻击者可以通过操纵参数,访问未经授权的文件。该漏洞影响所有版本小于等于 6.1 的 lsfusion platform 用户。已发布补丁版本 6.1.1,建议尽快升级。
该路径遍历漏洞允许攻击者绕过访问控制机制,读取服务器上的任意文件。攻击者可能利用此漏洞泄露敏感信息,例如配置文件、数据库凭据或源代码。更严重的后果包括攻击者可能通过读取和修改关键文件来控制服务器,导致数据丢失或系统中断。由于该漏洞已公开披露,攻击者可以轻松利用它来攻击易受攻击的系统。
该漏洞已公开披露,存在被利用的风险。目前没有已知的活跃攻击活动,但由于漏洞的公开性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其潜在风险较高。公开的 PoC 存在,攻击者可以利用这些 PoC 快速进行攻击。
Organizations deploying lsfusion platform in environments with limited access controls or those running older, unpatched versions (≤6.1) are at significant risk. Shared hosting environments utilizing lsfusion platform are particularly vulnerable due to the potential for cross-tenant exploitation.
• java / server:
find /path/to/lsfusion/platform/web-client/src/main/java/lsfusion/http/controller/file/ -name "UploadFileRequestHandler.java"• generic web:
curl -I 'http://your-lsfusion-server/path/to/file?sid=../../../../etc/passwd' # Check for 200 OK or other unexpected responsesdisclosure
漏洞利用状态
EPSS
0.40% (60% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 lsfusion platform 升级至 6.1.1 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,阻止攻击者操纵 sid 参数。此外,应审查文件上传处理逻辑,确保输入验证和清理措施到位,以防止进一步的路径遍历攻击。升级后,请验证文件上传功能是否正常工作,并确认漏洞已成功修复。
Actualizar la plataforma lsfusion a una versión posterior a la 6.1 que corrija la vulnerabilidad de path traversal en el componente UploadFileRequestHandler. Consultar el sitio web del proveedor para obtener la última versión y las instrucciones de actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13262 是一种路径遍历漏洞,影响 lsfusion platform 的 web-client 组件,允许攻击者通过操纵参数访问未经授权的文件。
如果您正在使用 lsfusion platform 版本小于等于 6.1,则可能受到此漏洞的影响。请尽快升级至 6.1.1 或更高版本。
最有效的修复方法是升级至 lsfusion platform 6.1.1 或更高版本。如果无法升级,请使用 WAF 过滤恶意请求。
虽然目前没有已知的活跃攻击活动,但由于漏洞的公开性,存在被利用的风险。
请访问 lsfusion 官方网站或查阅其安全公告,以获取有关 CVE-2025-13262 的更多信息。
上传你的 pom.xml 文件,立即知道是否受影响。