CVE-2025-14551 是 Ubuntu Subiquity 软件中的一个信息泄露漏洞。当安装失败并提交错误报告时,Subiquity 可能会将用户的敏感凭据,例如明文 Wi-Fi 密码,包含在日志文件中,从而导致信息泄露。该漏洞影响 Ubuntu 24.04.4 版本。已发布修复版本 24.04.5。
CVE-2025-14551 影响 Ubuntu,特别是 Subiquity 版本 24.04.4。该漏洞存在于安装过程中的错误报告流程中。如果安装失败,用户向 Launchpad 提交错误报告时,Subiquity 可能会意外地将敏感的用户凭据(例如明文 Wi-Fi 密码)包含在附件日志文件中。这会带来潜在的凭据泄露风险,尤其是在错误报告可以被第三方访问的情况下。该漏洞的严重程度基于信息泄露可能造成的潜在损害进行评估,包括未经授权访问 Wi-Fi 网络以及潜在的其他连接系统。
利用 CVE-2025-14551 需要 Ubuntu 安装失败以及用户选择向 Launchpad 提交错误报告。攻击者可能会尝试诱导安装失败,通过操纵安装过程或利用现有漏洞来实现。用户提交报告后,攻击者可以访问附件并提取敏感凭据。利用的可能性取决于安装失败的频率以及用户提交错误报告的意愿。利用的复杂性相对较低,因为它不需要高级技术技能。
漏洞利用状态
EPSS
0.06% (17% 百分位)
CISA SSVC
解决 CVE-2025-14551 的方法是升级到 Ubuntu 24.04.5 或更高版本。Canonical 已发布一个更新,解决了此漏洞,防止用户凭据包含在错误报告中。强烈建议所有 Ubuntu 24.04.4 的用户尽快应用此更新。此外,建议审查从易受攻击的安装中先前提交到 Launchpad 的任何错误报告,以验证是否包含敏感信息。如果发现敏感信息,请立即更改受影响的密码。更新可以通过 Ubuntu 的包管理器应用。
Actualice Subiquity a la versión 24.04.5 o posterior para evitar la divulgación de credenciales sensibles en los informes de errores. Esto se puede hacer a través de los canales de actualización estándar de Ubuntu. Verifique la documentación de Ubuntu para obtener instrucciones específicas sobre cómo actualizar el sistema.
漏洞分析和关键警报直接发送到您的邮箱。
在 Launchpad 上审查错误报告,查看是否包含敏感信息。如果是,请立即更改受影响的密码。
使用 Ubuntu 的包管理器。在终端中运行 sudo apt update && sudo apt upgrade。
不,此漏洞仅限于 Subiquity 版本 24.04.4。
Launchpad 是 Canonical 为 Ubuntu 使用的代码托管平台和错误跟踪系统。
目前没有专门用于扫描此漏洞的工具。验证的最佳方法是检查已安装的 Subiquity 版本。
上传你的 requirements.txt 文件,立即知道是否受影响。