CVE-2025-46294: IIS短文件名漏洞

严重性：中等 类型：漏洞 CVE： CVE-2025-46294

为了增强安全性，FileMaker Server 22.0.4安装程序现在包含一个选项，可通过设置Windows注册表中的NtfsDisable8dot3NameCreation来禁用IIS短文件名枚举。这可以防止攻击者使用波浪符（）发现隐藏的文件和目录。此漏洞已在FileMaker Server 22.0.4中得到完全解决。IIS短文件名漏洞利用了Microsoft IIS处理遗留8.3短文件名的方式，攻击者可以通过构造包含波浪符（）的请求来推断文件或目录的存在。

技术摘要

CVE-2025-46294是一个影响使用Microsoft Internet Information Services（IIS）Web服务器的Claris FileMaker Server安装的安全漏洞。根本原因在于IIS对8.3短文件名的遗留支持，这是一种向后兼容功能，会生成缩写文件名（例如，Program Files 被缩写为 PROGRA~1）。

攻击者可以利用此行为，通过构造包含波浪符（~）后跟部分文件名的HTTP请求，来枚举服务器上文件或目录的存在。这种旁道信息泄露允许攻击者映射服务器的文件系统结构，有可能识别出可用于进一步攻击的敏感或隐藏文件。该漏洞本身不允许直接执行代码或权限提升，但有助于侦察。

Claris在FileMaker Server版本22.0.4中通过安装程序包含一个选项来解决此问题，该选项可通过Windows注册表项NtfsDisable8dot3NameCreation禁用IIS短文件名枚举。禁用此功能可阻止IIS响应利用8.3文件名枚举的请求，从而有效缓解该漏洞。截至目前，尚未报告有公开的漏洞利用，并且受影响的版本未具体说明，这意味着如果使用了IIS，22.0.4之前的所有版本都可能易受攻击。该漏洞突显了现代环境中遗留功能的风险以及禁用不必要的向后兼容选项的重要性。

潜在影响

对于欧洲组织而言，CVE-2025-46294的主要影响是未经授权的信息披露。通过枚举文件和目录，攻击者可以深入了解服务器的结构，有可能识别出可能促进进一步利用或数据泄露的敏感配置文件、备份文件或其他数据。这种侦察能力可以增加成功定向攻击的可能性，包括权限提升或数据窃取。依赖FileMaker Server处理关键业务应用程序（尤其是与IIS集成的应用程序）的组织可能面临知识产权或个人数据暴露的风险增加，这可能导致违反GDPR规定。虽然该漏洞不会直接损害系统的完整性或可用性，但信息泄漏可能成为更严重攻击的垫脚石。已知漏洞利用在野外的缺失降低了直接风险，但并未消除威胁，尤其是在攻击者通常在漏洞公开披露后开发漏洞利用程序的情况下。

缓解建议

欧洲组织应采取以下具体步骤来缓解CVE-2025-46294：

1. 将所有FileMaker Server实例升级到版本22.0.4或更高版本，其中包含修复程序以禁用IIS短文件名枚举。
2. 手动验证并设置Windows注册表项NtfsDisable8dot3NameCreation，以禁用承载FileMaker Server数据和IIS Web内容的卷上的8.3名称创建。这可以通过命令行或针对多系统的组策略来完成。
3. 审计IIS配置，确保在不需要的地方禁用诸如8.3文件名支持之类的遗留功能。
4. 在FileMaker Server和IIS日志上实施严格的访问控制和监控，以检测包含波浪符或可疑枚举模式的异常请求。
5. 进行侧重于文件枚举技术的内部渗透测试，以验证缓解措施的有效性。
6. 教育系统管理员有关遗留兼容性功能的风险，以及通过禁用不必要的选项来最小化攻击面的重要性。
7. 保持最新的备份和事件响应计划，以防发生利用尝试。 这些有针对性的行动超越了通用的修补，有助于减少对此特定漏洞的暴露。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙

来源： CVE Database V5 发布日期： 2025年12月16日，星期二