CVE-2025-53897: Kiteworks MFT 钓鱼攻击导致敏感日志信息泄露漏洞

披露日期: 2025-11-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-53897

漏洞类型

钓鱼攻击/信息泄露

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Kiteworks MFT

漏洞概述

Kiteworks MFT 9.1.0之前版本存在安全漏洞，外部攻击者可通过社会工程学手段欺骗管理员访问特制的钓鱼页面，从而获取系统敏感日志信息。该漏洞利用需要目标管理员的用户交互，攻击复杂度较高。

技术细节

攻击者构造包含恶意代码的钓鱼页面，诱骗管理员点击访问。页面加载时触发漏洞，攻击者能够提取系统日志、用户会话信息等敏感数据。漏洞源于输入验证不足和访问控制缺陷。

攻击链分析

STEP 1

侦察阶段

攻击者收集目标组织信息，识别Kiteworks MFT实例

STEP 2

钓鱼页面构造

创建包含恶意代码的钓鱼页面

STEP 3

社工攻击

通过钓鱼邮件等方式诱导管理员访问

STEP 4

信息窃取

管理员访问页面后，攻击者获取敏感日志信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要用户交互和管理员权限，无法直接提供自动化PoC

影响范围

Kiteworks MFT < 9.1.0

防御指南

临时缓解措施

立即升级到9.1.0版本，对管理员进行安全培训，实施多因素认证

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表