CVE-2025-27222CVE-2025-27222是TRUfusion Enterprise软件中的一个严重路径遍历漏洞。该漏洞存在于/trufusionPortal/getCobrandingData端点,攻击者可以通过构造特殊的路径遍历序列(如../)来访问服务器上的任意文件。由于该端点无需认证即可访问,攻击者可以在未登录的情况下远程利用此漏洞。漏洞影响版本为7.10.4.0及之前版本,CVSS评分高达8.6,属于高危漏洞。攻击者不仅能够读取服务器上TRUfusion用户可访问的任何文件,还可能泄露TRUfusion Enterprise本身的明文密码,造成严重的敏感信息泄露风险。此漏洞被归类为C:H/I:N/A:N,意味着对机密性有高影响,但对完整性和可用性无影响。
TRUfusion Enterprise的/trufusionPortal/getCobrandingData端点存在路径遍历漏洞。应用程序在处理用户输入时,未对文件名参数进行充分的输入验证和安全过滤,导致攻击者可以通过在请求中插入路径遍历序列(如../)来访问目标服务器上的任意文件。攻击者利用此漏洞可以读取系统配置文件、敏感凭证文件,甚至获取TRUfusion Enterprise的明文密码数据库。由于该端点无需任何认证且可通过网络远程访问,攻击者可以直接构造恶意请求,无需任何用户交互即可成功利用。此漏洞允许攻击者突破应用程序的目录限制,访问本应受保护的文件系统资源。