CVE-2025-9639描述了Ai3开发的QbiCRMGateway中的一个任意文件读取漏洞。该漏洞允许未经身份验证的远程攻击者利用相对路径遍历来下载任意系统文件,可能导致敏感信息泄露。受影响的版本包括7.5.1到8.5.03。建议尽快升级到修复版本或采取缓解措施。
攻击者可以利用此漏洞访问服务器上的任何文件,只要他们能够构造有效的路径。这可能包括配置文件、数据库备份、源代码或其他包含敏感信息的文档。成功利用此漏洞可能导致数据泄露、系统配置更改,甚至可能导致进一步的攻击,例如通过访问敏感文件获取凭据。由于该漏洞不需要身份验证,因此攻击者可以从外部网络发起攻击,扩大了攻击范围。
目前尚未公开可用的PoC,但由于该漏洞的严重性和易利用性,预计未来可能会出现。该漏洞已于2025年8月29日公开,建议尽快采取缓解措施。CISA尚未将其添加到KEV目录中,但应密切关注。
Organizations utilizing QbiCRMGateway in production environments, particularly those with publicly accessible instances or those lacking robust access controls, are at significant risk. Shared hosting environments where multiple users share the same server instance are also particularly vulnerable, as an attacker could potentially leverage this vulnerability to access data belonging to other users.
• linux / server:
journalctl -u qbicrmgateway -g 'file access' | grep '../'• generic web:
curl -I 'http://your-qbicrmgateway-url/../../../../etc/passwd' # Check for 200 OK responsedisclosure
漏洞利用状态
EPSS
0.10% (27% 百分位)
CISA SSVC
CVSS 向量
虽然官方修复版本尚未发布,但可以采取一些缓解措施来降低风险。首先,限制对QbiCRMGateway的访问,只允许授权用户访问。其次,实施严格的文件访问控制,确保用户只能访问其需要的文件。第三,配置Web应用程序防火墙(WAF)或代理服务器,以阻止包含恶意路径的请求。第四,定期审查QbiCRMGateway的配置,以确保其安全。升级到官方修复版本是最终的解决方案,请密切关注Ai3的官方公告。
Actualice QbiCRMGateway a una versión posterior a 8.5.03 que corrija la vulnerabilidad de Path Traversal. Consulte el sitio web del proveedor Ai3 para obtener la última versión y las instrucciones de actualización. Si no hay una versión disponible, contacte al proveedor para obtener un parche.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-9639描述了Ai3开发的QbiCRMGateway中的一个任意文件读取漏洞,攻击者可利用相对路径遍历下载系统文件。
如果您的QbiCRMGateway版本在7.5.1到8.5.03之间,则可能受到影响。请立即检查您的版本并采取缓解措施。
官方修复版本尚未发布。建议限制访问、实施文件访问控制、配置WAF并定期审查配置。
目前尚未确认正在积极利用,但由于漏洞的严重性,预计未来可能会出现。
请访问Ai3的官方网站或联系他们的支持团队以获取官方公告。