CVE-2025-14699: Municorn FAX应用中的路径遍历漏洞

严重性：中等 类型：漏洞 CVE编号：CVE-2025-14699

概述

在Android版的Municorn FAX App 3.27.0中发现了一个安全漏洞。此漏洞影响了组件 biz.faxapp.app 中的未知代码。此类操作会导致路径遍历攻击。攻击需要在本地执行。漏洞利用方法已被公开披露，并可能被利用。供应商很早就收到了关于此披露的联系，但未做出任何回应。

技术分析

CVE-2025-14699 是在 Municorn FAX App 3.27.0 for Android 中发现的路径遍历漏洞。该漏洞源于应用组件 biz.faxapp.app 中对文件路径输入验证或净化不当，使得拥有本地访问权限和有限权限的攻击者能够操纵文件路径，访问或修改预期目录之外的文件。这可能导致设备上存储的敏感传真数据被未经授权的披露或篡改，可能影响机密性和完整性。

攻击向量是本地化的，要求攻击者至少在设备上拥有有限权限，但一旦获得访问权限，则无需用户交互。CVSS 4.0评分为4.8，考虑到攻击向量有限但潜在影响重大，因此被评为中等严重性。已联系供应商，但供应商未回应或发布补丁，且公开的漏洞利用信息已被披露，增加了被利用的风险。该漏洞不需要网络访问，这使其主要成为多用户共享设备或本地访问控制薄弱环境中的问题。缺乏补丁和供应商回应增加了组织实施补偿性控制的紧迫性。

潜在影响

对于欧洲的组织，此漏洞可能导致存储在运行有漏洞Municorn FAX App的Android设备上的传真文档被未经授权访问或修改。这可能造成敏感业务通信、知识产权或个人数据的泄露，可能违反GDPR和其他数据保护法规。传真文档的完整性可能受到损害，影响业务运营和通信的可信度。如果关键文件被删除或损坏，可用性影响有限但仍有可能。本地攻击要求限制了远程利用，但内部威胁或设备被入侵会构成真实风险。严重依赖传真通信的行业，如法律、医疗保健和政府机构，可能面临运营中断和声誉损害。供应商补丁的缺失增加了暴露时间，需要主动采取缓解措施。

缓解建议

1. 将对运行Municorn FAX App的Android设备的物理和本地访问限制为仅限可信人员。
2. 实施严格的设备级访问控制，包括强身份验证和用户权限分离，以防止未经授权的本地访问。
3. 监控设备上的文件系统活动，查找异常访问模式或访问受限目录的尝试。
4. 使用移动设备管理（MDM）解决方案来强制执行安全策略，并在设备被入侵时远程擦除或锁定设备。
5. 教育用户了解安装不受信任的应用程序或授予不必要权限的风险。
6. 定期检查供应商更新或补丁，并在可用后立即应用。
7. 在此漏洞解决之前，考虑使用具有更好安全记录的其他传真解决方案。
8. 对用于敏感通信的设备进行定期安全审计，以检测潜在的利用行为。

受影响国家

德国、法国、英国、意大利、西班牙、荷兰

来源： CVE Database V5 发布日期： 2025年12月15日，星期一