【低危漏洞】CVE-2025-55251:HCL AION 不受限制的文件上传漏洞
漏洞概述
HCL AION 存在一个不受限制的文件上传漏洞(Unrestricted File Upload),攻击者可能通过上传恶意文件,导致未经授权的代码执行或系统被进一步利用。该漏洞的 CVE 编号为 CVE-2025-55251,CVSS 评分为 3.1(低危)。
漏洞详情
- CVE 编号:CVE-2025-55251
- 漏洞类型:不受限制的文件上传(CWE-434)
- CVSS 评分:3.1(LOW)
向量:CVSS:3.1/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L - 影响版本:HCL AION(具体受影响版本请参考厂商公告)
影响范围
该漏洞影响 HCL AION 产品。由于攻击需满足本地访问、高权限账户、用户交互等条件,实际影响范围有限,但仍建议相关用户评估风险。
风险分析
该漏洞允许具有高权限的本地用户在用户交互前提下上传恶意文件,可能导致系统完整性与可用性受损(如执行任意代码)。但由于攻击向量为本地(AV:L)、需高权限(PR:H)且需用户交互(UI:R),远程大规模利用可能性较低。
修复建议
- 建议用户关注 HCL 官方安全公告,并及时应用官方发布的补丁或升级到安全版本。
- 在补丁发布前,可限制对文件上传功能的访问权限,仅允许可信用户操作,并对上传文件类型、扩展名及内容进行严格校验与隔离存储。
