CVE-2025-11853CVE-2025-11853是Sismics Teedy文档管理系统中存在的一个访问控制不当漏洞,影响版本至1.11。该漏洞位于API端点的/api/file路径中,涉及一个未知功能函数。攻击者可以通过远程方式利用此漏洞,绕过系统的访问控制机制,对受保护的文件资源进行未授权操作。
Sismics Teedy是一款开源的轻量级文档管理系统(EDM),提供文档存储、标签管理、全文搜索、OCR等功能,广泛应用于企业和个人用户。该系统通过RESTful API提供核心功能,包括文件上传、下载、分享和管理等操作。由于/api/file端点存在访问控制缺陷,攻击者可以在不具备足够权限的情况下执行受限操作。
该漏洞的CVSS 3.1评分为6.3,属于中等严重等级。攻击向量为网络(AV:N),攻击复杂度低(AC:L),所需权限为低权限(PR:L),无需用户交互(UI:N)。漏洞对机密性、完整性和可用性均产生低程度影响(C:L/I:L/A:L)。该漏洞的利用方式已被公开披露,供应商在漏洞披露前已被通知但未做出任何回应,增加了漏洞被恶意利用的风险。
该漏洞的核心问题在于Sismics Teedy的/api/file API端点未正确实施访问控制机制。具体而言,当用户通过低权限账户(如普通用户角色)向/api/file端点发送精心构造的HTTP请求时,系统未能充分验证请求者的身份和权限级别,导致攻击者可以执行仅限特定角色(如管理员或文件所有者)的操作。
从技术层面分析,漏洞可能源于以下几个方面:
1. 身份验证与授权分离缺陷:API端点可能仅验证了用户是否已登录(认证),但未检查用户是否具有执行特定操作的权限(授权)。
2. 缺少基于角色的访问控制(RBAC)检查:在处理文件相关请求时,系统未对用户角色进行充分的权限校验。
3. 路径遍历或IDOR(不安全的直接对象引用):攻击者可能通过修改请求中的文件ID或路径参数,访问或操作不属于自己的文件资源。
利用方式方面,攻击者首先需要拥有一个有效的低权限账户,然后通过发送特制的HTTP请求(如GET、PUT、DELETE)到/api/file端点,携带目标文件的标识符或路径,即可绕过权限检查执行未授权的文件操作,包括但不限于读取、修改或删除其他用户的文件。由于漏洞利用复杂度低且无需用户交互,自动化攻击工具可以轻松实施大规模利用。