CVE-2025-64487 是 Outline 文档管理系统中的一个权限提升漏洞。该漏洞源于用户和群组管理端点的授权检查不一致,攻击者可以利用此漏洞提升权限。该漏洞影响 Outline 1.0.1 及更早版本,已在 1.1.0 版本中修复。
攻击者可以利用此权限提升漏洞绕过正常的访问控制机制,获得对 Outline 文档管理系统的更高权限。这可能允许攻击者未经授权地访问、修改或删除敏感文档,甚至可能控制整个系统。攻击者可以利用此漏洞进行横向移动,影响到与 Outline 系统共享资源的其它系统。该漏洞的潜在影响范围取决于 Outline 系统在组织中的重要性和其与其他系统的集成程度。
目前尚无公开的利用程序 (PoC)。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations utilizing Outline for collaborative documentation, particularly those with shared user accounts or complex group structures, are at risk. Environments with legacy configurations or those lacking robust access control policies are especially vulnerable.
disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 Outline 1.1.0 或更高版本。如果升级不可行,可以考虑以下临时缓解措施:限制用户和群组管理端点的访问权限,仅允许授权用户进行管理操作;实施严格的访问控制策略,确保用户只能访问其授权的资源;定期审查用户和群组的权限设置,及时发现和修复潜在的安全漏洞。升级后,请验证新版本是否已成功部署,并确认权限控制机制是否正常工作。
将 Outline 更新到 1.1.0 或更高版本。此版本修复了文档管理中的权限提升漏洞。更新可确保用户和组管理端点之间的授权检查是一致的。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-64487 是 Outline 文档管理系统 1.0.1 及更早版本中发现的一个权限提升漏洞,由于授权检查不一致导致,攻击者可以利用此漏洞提升权限。
如果您正在使用 Outline 文档管理系统 1.0.1 或更早版本,则可能受到此漏洞的影响。请立即升级到 1.1.0 或更高版本。
最有效的修复方法是升级到 Outline 1.1.0 或更高版本。如果无法升级,请参考缓解措施,限制访问权限并实施严格的访问控制策略。
目前尚无公开的利用程序,但该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。
请访问 Outline 官方网站或安全公告页面,查找有关 CVE-2025-64487 的官方公告和修复指南。
CVSS 向量