CVE-2025-12924: rymcu forest BankController.java GlobalResult函数缺少授权漏洞

披露日期: 2025-11-10

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12924

漏洞类型

授权缺陷

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

rymcu forest

漏洞概述

该漏洞允许未经授权的用户通过BankController.java中的GlobalResult函数访问敏感数据，CVSS评分4.3，属于中危级别。攻击者无需特殊权限即可远程利用此漏洞。

技术细节

GlobalResult函数缺少适当的权限检查，攻击者可通过构造特定请求获取未授权访问。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统

STEP 2

步骤2

直接访问/api/bank/GlobalResult端点

STEP 3

步骤3

获取敏感金融数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

GET /api/bank/GlobalResult HTTP/1.1
Host: target.com

影响范围

rymcu forest <= de53ce79db9faa2efc4e79ce1077a302c42a1224

防御指南

临时缓解措施

限制对/api/bank/GlobalResult端点的访问，或添加身份验证机制

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-12924
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-12924
3 Details https://www.cvedetails.com/cve/CVE-2025-12924/
4 VulDB https://vuldb.com/cve/CVE-2025-12924
5 Link https://github.com/rymcu/forest/
6 Link https://github.com/rymcu/forest/issues/198
7 Link https://vuldb.com/?ctiid.331644
8 Link https://vuldb.com/?id.331644
9 Link https://vuldb.com/?submit.681079

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表