概述
CVE-2025-12176是一个由于创建未记录的管理账户而导致的安全漏洞。该漏洞的CVSS 4.0评分为10.0分,属于严重级别。
漏洞描述
为方便板上运行的应用程序访问,系统创建了未记录的管理账户。此问题影响:
- BLU-IC2:1.19.5及之前版本
- BLU-IC4:1.19.5及之前版本
时间线
- 发布日期:2025年10月24日16:15
- 最后修改:2025年10月24日16:15
- 远程利用:是
- 来源:a0340c66-c385-4f8b-991b-3d05f6fd5220
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 10.0 | CVSS 4.0 | 严重 | - | - | - | a0340c66-c385-4f8b-991b-3d05f6fd5220 |
解决方案
移除未记录的管理账户并实施适当的认证机制:
- 禁用或移除未记录的管理账户
- 实施强访问控制策略
- 审查并保护应用程序访问方法
参考资源
| URL | 资源 |
|---|---|
| azure-access.com/security-ad… | 安全公告 |
CWE关联
CWE-1242:包含未记录的功能或"Chicken Bits"
CAPEC攻击模式
- CAPEC-36:使用未发布的接口或功能
- CAPEC-212:功能滥用
漏洞历史
2025年10月24日 - 由a0340c66-c385-4f8b-991b-3d05f6fd5220接收新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | 未记录的管理账户被创建以方便板上运行的应用程序访问。此问题影响BLU-IC2:至1.19.5版本;BLU-IC4:至1.19.5版本。 |
| 添加 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
| 添加 | CWE | - | CWE-1242 |
| 添加 | 参考 | - | azure-access.com/security-ad… |
