一、 漏洞 CVE-2025-0473 基础信息
漏洞标题
PMB平台存在不完全清理漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在PMB平台中发现了一个漏洞,该漏洞允许攻击者在服务器上持久化临时文件,影响版本4.0.10及以上。此漏洞存在于‘/pmb/authorities/import/iimport_authorities’端点的文件上传功能中。当通过此资源上传文件时,服务器会创建一个临时文件,该文件将在客户端向‘/pmb/authorities/import/iimport_authorities’发送POST请求后被删除。虽然这一工作流程由Web客户端自动化完成,但攻击者可以通过截获并发起第二次POST请求来阻止临时文件被删除。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
危险类型文件的不加限制上传
来源:AIGC 神龙大模型
漏洞标题
Incomplete Cleanup vulnerability in PMB platform
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vulnerability in the PMB platform that allows an attacker to persist temporary files on the server, affecting versions 4.0.10 and above. This vulnerability exists in the file upload functionality on the ‘/pmb/authorities/import/iimport_authorities’ endpoint. When a file is uploaded via this resource, the server will create a temporary file that will be deleted after the client sends a POST request to ‘/pmb/authorities/import/iimport_authorities’. This workflow is automated by the web client, however an attacker can trap and launch the second POST request to prevent the temporary file from being deleted.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
清理环节不完整
来源:美国国家漏洞数据库 NVD
漏洞标题
PMB platform 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PMB platform是PMB公司的一个免费的文档管理软件。 PMB platform 4.0.10版本至4.2.13版本存在安全漏洞,该漏洞源于允许攻击者在服务器上保留临时文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-0473 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-0473 的情报信息
-
标题: Multiple vulnerabilities in the PMB platform | INCIBE-CERT | INCIBE -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-0473