CVE-2025-5243 is an Arbitrary File Access vulnerability, coupled with OS Command Injection, affecting the SMG Software Information Portal. This flaw allows attackers to upload files with dangerous types and execute arbitrary commands on the server, potentially leading to complete system compromise. The vulnerability impacts versions of the Information Portal prior to 13.06.2025. A patch is available in version 13.06.2025.
SMG软件的信息门户中存在CVE-2025-5243漏洞,由于代码注入的可能性,构成严重风险。它允许上传危险类型的的文件,并进行OS命令注入。攻击者可以利用此漏洞将Web Shell上传到Web服务器,从而使其能够在底层系统上执行任意命令。这可能导致服务器完全被控制、数据被盗或服务中断。CVSS评分达到10.0,表明严重程度极高,需要立即关注。2025年6月13日之前的的信息门户版本存在漏洞。
攻击者可以通过向信息门户发送包含设计为被解释为可执行代码的文件的恶意请求来利用此漏洞。缺乏适当的文件类型验证和用户输入清理允许OS命令注入。Web Shell成功上传后,攻击者可以使用它在服务器上执行任意命令,例如创建新用户、修改文件或安装恶意软件。利用的复杂性可能因服务器配置和现有安全措施而异。
漏洞利用状态
EPSS
0.27% (50% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的方法是将信息门户更新到13.06.2025版本或更高版本,一旦可用。同时,建议实施临时缓解措施,例如将门户访问限制为授权用户、暂时禁用文件上传功能以及监控服务器日志中是否存在可疑活动。定期应用安全补丁并维护漏洞管理系统对于快速识别和解决新威胁至关重要。审查安全策略和防火墙配置以加强系统保护。
Actualice Information Portal a una versión posterior a 13.06.2025. Esto corrige las vulnerabilidades de carga de archivos arbitrarios e inyección de comandos del sistema operativo. Consulte el registro de cambios del proveedor para obtener más detalles sobre la actualización.
漏洞分析和关键警报直接发送到您的邮箱。
CVSS评分10.0表示漏洞的最高严重程度,意味着它非常关键,需要立即关注。
实施临时缓解措施,例如限制访问并监控服务器日志。
建议使用漏洞扫描工具来识别受影响的系统。
诸如.php、.asp、.jsp、.sh等可以被解释为可执行代码的文件。
更新将在SMG软件的官方网站上提供。