平台
php
组件
innoshop
修复版本
0.4.2
CVE-2025-52922 是 InnoShop 应用程序中发现的目录遍历漏洞。该漏洞允许经过身份验证的攻击者,通过 FileManager API 端点,在服务器上执行未经授权的操作,例如读取敏感文件或修改系统配置。该漏洞影响 InnoShop 0.0 到 0.4.1 版本。建议立即升级到 0.4.2 版本以消除此风险。
攻击者可以利用此漏洞完全遍历文件系统结构,通过 /api/filemanager/files?basefolder= 端点获取文件系统信息。更严重的是,攻击者可以创建任意目录,读取服务器上的任意文件(通过将文件复制到应用程序可读位置),甚至删除任意文件。这种权限提升可能导致数据泄露、系统篡改,甚至远程代码执行,具体取决于服务器配置和应用程序的权限模型。该漏洞的潜在影响范围取决于 InnoShop 在服务器上的部署方式和权限设置。
目前尚未公开发现针对 CVE-2025-52922 的大规模利用活动。该漏洞已添加到 NVD 数据库中,并已公开披露。由于该漏洞允许攻击者在服务器上执行任意文件操作,因此存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations using InnoShop for e-commerce or online store management are at risk, particularly those running versions 0 through 0.4.1. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromised admin account on one store could potentially be used to exploit this vulnerability on other stores.
• php: Examine web server access logs for requests to /api/filemanager endpoints containing ../ sequences in the basefolder or other parameters.
grep 'api/file_manager.*\/\/\/' /var/log/apache2/access.log• php: Check for unusual file creations or deletions within the InnoShop application directory.
find /var/www/innoshop -type f -ctime -1• generic web: Monitor for unexpected file reads or modifications within the InnoShop application directory. • generic web: Review the application's configuration files for any insecure file paths or permissions.
disclosure
漏洞利用状态
EPSS
0.30% (53% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 InnoShop 升级到 0.4.2 版本,该版本修复了此漏洞。如果升级不可行,可以考虑以下临时缓解措施:限制 FileManager API 端点的访问权限,仅允许授权用户访问;实施严格的文件访问控制,确保应用程序只能访问必要的文件;监控 FileManager API 端点的活动,检测可疑行为。此外,可以配置 Web 应用程序防火墙 (WAF) 或代理服务器,以阻止包含恶意路径的请求。升级后,请验证文件系统完整性,并检查是否有未经授权的文件修改或创建。
Actualice InnoShop a una versión posterior a 0.4.1 que corrija la vulnerabilidad de path traversal. Si no hay una versión disponible, considere deshabilitar o eliminar el componente FileManager hasta que se publique una solución. Revise y valide las configuraciones de seguridad del servidor web para mitigar el riesgo de acceso no autorizado al sistema de archivos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-52922 是 InnoShop 应用程序中发现的目录遍历漏洞,允许攻击者读取、创建或删除服务器上的文件。
如果您正在使用 InnoShop 0.0 到 0.4.1 版本,则可能受到此漏洞的影响。请立即升级到 0.4.2 版本。
最有效的修复方法是升级到 InnoShop 0.4.2 版本。如果无法升级,请实施临时缓解措施,例如限制 API 访问和加强文件访问控制。
目前尚未公开发现大规模利用活动,但由于漏洞允许任意文件操作,存在被利用的风险。
请查阅 InnoShop 官方网站或 GitHub 仓库,以获取有关此漏洞的官方公告和修复信息。