基本信息
漏洞编号: CVE-2025-31131
危险等级: 高危
影响版本: YesWiki < 4.5.2
受影响组件: YesWiki
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
YesWiki 是一个用 PHP 编写的 Wiki 系统,广泛用于协作式创建和管理网站。攻击者可以利用该漏洞构造恶意请求,未经身份验证即可读取目标服务器上的任意文件。
影响范围
影响版本
YesWiki < 4.5.2
受影响的场景
- 公开部署的 YesWiki 实例
- 未启用严格访问控制的环境
验证方法
- 检查YesWiki版本是否为小于 4.5.2。
修复方案
方案一:版本升级 (推荐)
官方已发布补丁,建议升级至最新版本的 YesWiki,以修复该漏洞。
方案二:临时修复
如果暂时无法升级,建议采取以下措施:
1. 在服务器端配置严格的访问控制规则,限制对敏感文件的访问。
2. 使用 Web 应用防火墙 (WAF) 过滤潜在的恶意请求。
3. 检查和更新所有与文件读取功能相关的代码,以确保路径遍历被正确处理。