免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 HAX CMS-Nodejs未经身份验证访问(CVE-2025-54127)
一、漏洞描述:
带有 nodejs 后端的 HAXcms 允许用户在任何 HAXsite 或 HAXcms 实例中启动服务器。在 11.0.6 及更低版本中,HAXcms 的 NodeJS 版本使用专为本地开发设计的不安全默认配置。默认配置不执行授权或身份验证检查。如果用户在不修改默认设置的情况下部署 haxcms-nodejs,则 'HAXCMS_DISABLE_JWT_CHECKS' 将被设置为 'true',并且他们的部署将缺少会话身份验证。
二、风险等级:
高
三、影响范围:
haxcms-nodejs <= v11.0.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://nodejs.org/
2 Roothub SystemConfigadMincontroller.java编辑杂交站点脚本(CVE-2025-8211)
一、漏洞描述:
发现了一个名为Roothub的漏洞,影响版本至2.6。该漏洞已被声明为问题性漏洞。受影响的功能是文件src/main/java/cn/roothub/web/admin/SystemConfigAdminController.java中的编辑功能。该漏洞可能导致跨站脚本攻击。攻击可以远程发起。该漏洞已被公开披露并可能被利用。
二、风险等级:
中
三、影响范围:
Roothub影响版本至2.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/wandeorfu/test
|
发表于 2025-7-27 09:56
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡