平台
other
组件
filemegane
修复版本
3.0.1
CVE-2025-20075 是 FileMegane 中发现的服务器端请求伪造 (SSRF) 漏洞。此漏洞允许攻击者通过 FileMegane 执行任意后端 Web API 请求,可能导致服务重启,从而造成严重的安全风险。该漏洞影响 FileMegane 3.0.0.0 及更高版本,但在 3.4.0.0 之前存在此问题。建议尽快升级至 3.4.0.0 以缓解风险。
攻击者利用此 SSRF 漏洞可以绕过访问控制,向 FileMegane 后端发送未经授权的请求。这可能导致攻击者访问敏感数据、修改系统配置,甚至重启服务。攻击者可以通过构造恶意的 HTTP 请求来利用此漏洞,这些请求会被 FileMegane 视为来自受信任的来源。如果 FileMegane 运行在具有特权访问权限的环境中,攻击者可能能够进一步扩大攻击范围,影响其他系统和服务。此漏洞的潜在影响包括数据泄露、服务中断和系统完整性受损。
目前尚未公开发现针对此漏洞的利用代码,但由于 SSRF 漏洞的普遍性,存在被利用的风险。该漏洞已于 2025 年 2 月 17 日公开披露。CISA 尚未将其添加到 KEV 目录,但由于其潜在影响,应密切关注其发展情况。建议持续监控安全社区的动态,以获取最新的威胁情报。
Organizations deploying FileMegane versions 3.0.0.0 through 3.3.9.9 are at risk. This includes environments where FileMegane is used for file sharing or document management, particularly those with limited network segmentation or weak outbound access controls.
disclosure
漏洞利用状态
EPSS
0.07% (23% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级 FileMegane 至 3.4.0.0 或更高版本。如果无法立即升级,可以考虑实施以下临时缓解措施:限制 FileMegane 允许访问的后端 API 范围,使用防火墙或代理服务器来过滤出站请求,并监控 FileMegane 的日志以检测可疑活动。如果升级过程导致系统不稳定,请考虑回滚至之前的稳定版本,并尽快安排升级。实施 Web 应用防火墙 (WAF) 规则,以阻止包含恶意 URL 或 IP 地址的请求。
将 FileMegane 更新至 3.4.0.0 或更高版本。此更新修复了允许执行任意后端请求的 SSRF 漏洞,这可能导致服务重启。请参阅供应商的安全公告以获取更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-20075 是 FileMegane 中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者执行任意后端 Web API 请求,可能导致服务重启。
如果您正在使用 FileMegane 3.0.0.0 及更高版本,但在 3.4.0.0 之前,则可能受到此漏洞的影响。
建议立即升级 FileMegane 至 3.4.0.0 或更高版本。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请查阅 FileMegane 官方网站或安全公告页面,以获取有关此漏洞的最新信息。