CVE-2025-14213 Socket WebUI: 操作系统命令注入

描述

小于 v25 的 Socket版本 存在一个命令注入漏洞，该漏洞允许具有访问 Socket Web界面（WebUI）权限的认证攻击者以 root 用户身份在 Socket 的内部系统上执行任意操作系统命令。

严重程度

CVSSv4 风险分数是 8.3（高）。

我需要进行哪些变更？

从导航菜单中，点击网络 > 站点，并检查页面右侧 Socket版本 内部已连接的 Sockets 的版本。

Acknowledgments

Cato Networks 感谢 BugCrowd 的漏洞赏金计划中的研究人员发现并识别了这个问题。

对账户的影响是什么？

如果您不升级到 Socket 版本 25，Socket 将仍然易受攻击。 据我们所知，这些问题都未在野外被利用。