M-Files 是企业用于整理文档的智能信息管理平台,该平台已发布安全公告,披露了两项独立漏洞。其中最严重的漏洞可能允许恶意内部人员秘密窃取同事的数字身份,以他人名义获取对敏感数据的完全访问权限。
这两项漏洞编号分别为 CVE-2025-13008 和 CVE-2025-14267,使企业面临会话劫持、意外数据泄露等多重风险。
核心威胁来自 CVE-2025-13008—— 这是一个高危漏洞,CVSS 评分为 8.6 分,属于 “会话令牌泄露” 漏洞,直击 M-Files Web 界面用户身份验证的核心环节。
该漏洞的危险性尤为突出,因其无需复杂的外部黑客攻击:已通过身份验证的攻击者(即已拥有系统合法访问权限的人员),即可捕获其他用户的活跃会话令牌。
安全公告警告称:“攻击者可获取其他用户的会话令牌,伪装成该用户身份执行操作,并使用其权限开展各类活动。”
一旦会话令牌被盗,在服务器眼中,攻击者将完全等同于受害者。他们可以浏览文档库、查看机密文件、利用受害者的权限执行操作,且能绕过标准访问日志 —— 而这些日志在正常情况下本会将此类行为标记为可疑。
该漏洞影响 25.12.15491.7 版本之前的 M-Files 服务器,以及多个长期支持(LTS)版本,包括 25.8 LTS SR3、25.2 LTS SR3 和 24.8 LTS SR5。
第二项漏洞 CVE-2025-14267 为中危漏洞(CVSS 评分为 5.6 分)。
该漏洞的触发场景为:管理员尝试使用 “仅复制元数据结构” 选项创建文档库副本时 —— 本质是仅复制文件柜的结构,而不包含内部文件。但由于未能清理临时缓存数据,源文档库中的信息可能会 “泄露” 到新副本中。
报告指出:“泄露的数据可能包含敏感信息或个人身份信息(PII),例如文件名、用户名和评论内容。”
这会给用户带来异常体验:原始文档库中的随机活动流数据可能突然出现在新文档库的对象中,可能导致机密文件或内部讨论的存在被无权访问的用户知晓。
M-Files 公司已发布更新补丁修复这两个安全漏洞,强烈敦促管理员立即将 M-Files 服务器升级至 25.12.15491.7 版本或更高版本。
如何修复M-Files中的CVE-2025-13008漏洞?
M-Files的安全公告中是否提供了针对CVE-2025-14267漏洞的修复建议?
除了M-Files,还有哪些企业信息管理平台存在类似的安全漏洞?
发表评论
您还未登录,请先登录。
登录