关键漏洞信息 漏洞概述 标识符: SBA-ADV-20250327-03 漏洞类型: 信息泄露 (Information Disclosure) 软件/产品名称: Filebrowser 厂商: Filebrowser 受影响版本: <= 2.33.8 修复版本: 2.33.9 CVE ID: CVE-2025-52901 CVSS向量: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N CVSS基础分数: 4.5 (中等) 影响 JSON Web Token (JWT) 作为会话标识符可能会泄露给任何可以访问用户访问的URL的人,从而给予攻击者对用户账户和所有敏感文件的完全访问权限。 漏洞描述 敏感信息在URL中被多个组件记录,即使受TLS保护。 记录敏感信息的组件包括: - 浏览器历史记录 - 受影响的Web服务器的访问日志 - 代理服务器或反向代理服务器 - 第三方服务器通过HTTP引用头 证明概念 当通过Web界面下载文件时,JWT是URL的一部分。 同样,在启动新命令会话时也会发生这种情况。 推荐的对策 敏感数据如会话令牌或用户凭据应仅通过HTTP标头或HTTP正文传输,而不是在URL中。 时间线 2025-03-27: 在版本2.32.0中识别出漏洞 2025-04-11: 联系项目 2025-04-29: 向项目披露漏洞 2025-06-25: 将建议上传到项目的GitHub存储库 2025-06-26: GitHub分配CVE ID 2025-06-26: 发布修复版本2.33.9 2025-06-26: 项目以gHSA-rmwh-g367-mj4x发布建议 参考文献 CWE 598: 使用GET请求方法与敏感查询字符串:https://cwe.mitre.org/data/definitions/598.html GitHub安全咨询:https://github.com/filebrowser/filebrowser/security/advisories/GHSA-rmwh-g367-mj4x 致谢 Mathias Tausig (SBA Research)