【低危漏洞】CVE-2025-52659:HCL AION 缓存 HTTP 响应漏洞
漏洞概述
HCL AION version 2 存在一个缓存 HTTP 响应(Cacheable HTTP Response)漏洞。该漏洞可能导致敏感或动态内容被意外缓存,从而引发未授权访问或信息泄露风险。
漏洞详情
- CVE 编号:CVE-2025-52659
- 漏洞类型:缓存 HTTP 响应(CWE-525)
- CVSS 评分:2.8(LOW)
- 影响版本:HCL AION version 2
影响范围
该漏洞影响 HCL AION version 2。若系统配置不当或未正确设置 HTTP 响应头,可能导致包含敏感信息的响应被浏览器或代理服务器缓存。
风险分析
攻击者需具备本地访问权限,并在用户交互前提下,可能通过诱导用户访问特定页面,使敏感响应被缓存并后续被其他用户或进程读取。由于机密性和完整性无直接影响,主要风险为可用性轻微受损(如缓存污染),整体风险等级较低。
修复建议
- 建议用户关注 HCL 官方安全公告,并及时升级至已修复的安全版本。
- 临时缓解措施:确保所有包含敏感或动态内容的 HTTP 响应设置适当的缓存控制头(如
Cache-Control: no-store或Pragma: no-cache),防止被缓存。
