文章总结： M-Files修复了CVE-2025-13008和CVE-2025-14267两个漏洞。其中高危漏洞CVE-2025-13008允许内部人员窃取会话令牌并冒充用户访问敏感数据，CVSS评分8.6。中危漏洞CVE-2025-14267导致缓存数据泄露，可能暴露文件名等PII信息。建议管理员立即升级服务器至25.12.15491.7或更高版本以修复风险。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,数据安全

M-Files 中的身份盗窃漏洞：高危漏洞允许内部人员劫持用户帐户并访问敏感数据

sec随谈

sec随谈

2025年12月23日 09:37 北京

企业用于组织文档的智能信息管理平台 M-Files 发布安全公告，指出存在两个不同的漏洞。其中最严重的一个漏洞可能允许恶意内部人员悄悄窃取同事的数字身份，从而冒充其他用户完全访问敏感数据。

这两个漏洞分别被追踪为 CVE-2025-13008 和 CVE-2025-14267，它们使组织面临从会话劫持到意外数据泄露等各种风险。

最主要的威胁是 CVE-2025-13008，这是一个严重性很高的漏洞，CVSS 评分为 8.6。这个“会话令牌泄露”漏洞直接影响 M-Files Web 界面中的用户身份验证。

该漏洞尤其危险，因为它不需要复杂的外部攻击。相反，它允许经过身份验证的攻击者（即已经拥有系统合法访问权限的人）捕获其他用户的活动会话令牌。

该安全公告警告说： “攻击者可以获取其他用户的会话令牌，冒充他们并使用他们的身份和权限执行操作。”

一旦会话令牌被窃取，攻击者在服务器眼中就实际上变成了受害者。他们可以访问存储库、查看机密文档，并以受害者的权限执行操作，从而绕过原本会将可疑活动标记为可疑活动的标准访问日志。

此缺陷会影响 25.12.15491.7 之前的 M-Files Server 版本，以及包括 25.8 LTS SR3、25.2 LTS SR3 和 24.8 LTS SR5 在内的几个长期支持 (LTS) 版本。

第二个漏洞 CVE-2025-14267 是一个中等严重程度的问题（CVSS 5.6）。

当管理员尝试使用“仅元数据结构”选项创建文档库副本时，就会出现此缺陷——本质上是试图复制文件柜结构而不复制其中的文件。然而，由于未能清除临时缓存数据，源文档库中的信息可能会泄露到新副本中。

报告指出：“数据可能包含敏感数据或被归类为个人身份信息的数据，例如文件名、用户名和评论。”

对于用户来说，这种现象表现得很奇怪：来自原始保险库的随机活动数据可能会突然出现在新保险库中的对象上，从而可能向不应该看到这些机密文件或讨论的用户泄露它们的存在。

M-Files 公司已发布更新以修复这两个安全漏洞。强烈建议管理员立即将 M-Files 服务器升级到 25.12.15491.7 或更高版本。

参考链接：

CVE-2025-14267

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《M-Files 中的身份盗窃漏洞：高危漏洞允许内部人员劫持用户帐户并访问敏感数据》