【低危漏洞】CVE-2025-52660:HCL AION 不受限制的文件上传漏洞
漏洞概述
HCL AION 存在一个不受限制的文件上传漏洞(Unrestricted File Upload),攻击者在具备高权限账户的前提下,可能通过上传恶意文件导致未授权代码执行或系统被进一步利用。该漏洞已被分配 CVE 编号 CVE-2025-52660。
漏洞详情
- CVE 编号:CVE-2025-52660
- 漏洞类型:不受限制的文件上传(CWE-644)
- CVSS 评分:2.7(LOW)
- 影响版本:HCL AION(具体受影响版本请参考厂商公告)
影响范围
该漏洞影响 HCL AION 产品。由于漏洞利用需要攻击者已具备高权限(PR:H),因此主要影响内部具有上传功能模块的部署环境。建议用户确认是否使用了相关功能并评估风险。
风险分析
虽然 CVSS 评分为低危,但若攻击者已获得高权限账户访问,仍可能通过上传恶意脚本或可执行文件造成信息泄露(Confidentiality Impact: LOW)。由于完整性(Integrity)和可用性(Availability)未受影响,整体风险有限,但仍需警惕潜在的横向移动或持久化攻击。
修复建议
- 请关注 HCL 官方安全公告,并及时应用发布的补丁或升级到安全版本。
- 如暂无官方修复方案,建议限制高权限用户的文件上传功能,或对上传目录实施严格的文件类型白名单、内容扫描及执行权限控制等临时缓解措施。
