CVE-2025-54141 描述了 ViewVC 版本控制浏览器接口中存在的文件遍历漏洞。该漏洞允许攻击者利用 standalone.py 脚本访问主机服务器的文件系统,可能导致敏感信息泄露。受影响的版本包括 1.1.0 到 1.1.31 以及 1.2.0 到 1.2.3。建议立即升级至 1.2.4 版本以修复此问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问服务器上的任何文件,包括配置文件、源代码、数据库凭据和其他敏感数据。这可能导致数据泄露、身份盗窃、系统入侵和进一步的恶意活动。由于 standalone.py 脚本的设计缺陷,攻击者无需身份验证即可执行此操作,从而扩大了攻击面。如果服务器上存储了敏感信息,例如用户数据或商业机密,那么该漏洞的风险将显著增加。
目前尚未公开已知利用此漏洞的公开 PoC。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。NVD 已于 2025 年 7 月 22 日发布了此 CVE。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
Organizations running ViewVC version 1.1.0 through 1.2.3, particularly those with publicly accessible ViewVC instances or those who have not regularly patched their ViewVC installations, are at significant risk. Shared hosting environments where multiple users share the same server and ViewVC installation are also particularly vulnerable.
• python / file-system:
find /opt/viewvc -name standalone.py• generic web:
curl -I http://your-viewvc-server/standalone.py?file=/etc/passwd• generic web:
grep -r 'standalone.py' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.24% (47% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 ViewVC 升级至 1.2.4 版本或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:限制 standalone.py 脚本的访问权限,使其只能访问必要的目录;使用防火墙或 Web 应用防火墙 (WAF) 阻止对 standalone.py 脚本的未经授权的访问;监控 ViewVC 服务器的日志文件,以检测可疑活动。升级后,请验证漏洞是否已成功修复,例如通过尝试访问受保护的文件并确认访问被拒绝。
Actualice ViewVC a la versión 1.1.31 o superior si está utilizando la rama 1.1.x, o a la versión 1.2.4 o superior si está utilizando la rama 1.2.x. Esto solucionará la vulnerabilidad de recorrido de directorios en el script standalone.py. Puede descargar la versión más reciente desde el sitio web oficial de ViewVC o desde el repositorio de código fuente.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-54141 是 ViewVC 版本控制浏览器接口中发现的一个文件遍历漏洞,允许攻击者通过 standalone.py 脚本访问主机文件系统。
如果您运行 ViewVC 1.1.0–<1.2.4 版本,则可能受到影响。请立即升级至 1.2.4 或更高版本。
最有效的修复方法是升级至 ViewVC 1.2.4 或更高版本。
目前尚未公开已知利用此漏洞的公开 PoC,但已添加到 CISA KEV 目录,表明其具有中等概率被利用。
请访问 ViewVC 官方网站或安全公告页面以获取更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。