ISC has disclosed three vulnerabilities in Kea
a year ago
- #Kea-DHCP
- #security
- #vulnerability
- Kea DHCP服务器套件中被披露存在三个漏洞(CVE-2025-32801、CVE-2025-32802、CVE-2025-32803)。
- CVE-2025-32801允许通过钩子库注入实现本地权限提升。
- CVE-2025-32802涉及通过'config-write'命令导致的任意文件覆盖。
- CVE-2025-32803与全局可读的DHCP租约和日志文件有关,可能导致信息泄露。
- 这些漏洞影响多个Linux和BSD发行版,严重程度各不相同。
- 上游已发布修复版本(2.4.2、2.6.3、2.7.9)解决这些问题。
- 加固建议包括对REST API强制身份验证和限制文件权限。
- 披露过程的时间线已详细提供,从最初报告到公开披露的完整流程。