CVE-2025-14651：MartialBE one-hub 中硬编码加密密钥的使用

严重性：中 类型：漏洞 CVE：CVE-2025-14651

在 MartialBE one-hub 至 0.14.27 版本中发现一个漏洞。此漏洞影响了文件 docker-compose.yml 的未知代码。对参数 SESSION_SECRET 的操控导致了硬编码加密密钥的使用。攻击可以远程发起。攻击的复杂性相当高。据称可利用性较难。漏洞利用方式已公开披露并可能被使用。建议更改配置设置。代码维护者建议（译自中文）：“不推荐在生产环境中使用默认的 docker-compose 示例文件。如果您打算在生产中使用，请自行仔细检查和修改每一项配置和环境变量！”

技术摘要

CVE-2025-14651 标识了 MartialBE one-hub（一款用于协作或枢纽服务的软件产品）中的一个漏洞，影响所有至 0.14.27 的版本。该漏洞源于在 docker-compose.yml 文件中指定了硬编码的加密密钥，特别是 SESSION_SECRET 环境变量。此密钥本意是用于保护会话管理或加密操作，但在默认配置中是固定且公开已知的，使其可被预测。攻击者可以利用已知的 SESSION_SECRET 远程利用此缺陷，可能解密或伪造会话令牌，从而导致未授权访问或数据泄露。攻击复杂性高，表明利用需要付出大量努力或具备特定条件，并且不需要任何权限或用户交互。该漏洞不直接影响完整性或可用性，但通过暴露加密密钥影响了机密性。供应商明确指出，默认的 docker-compose 示例不适合生产环境，并建议用户自定义所有配置和环境变量。目前没有相关的补丁或修复程序链接，因此缓解措施依赖于配置更改。未报告有已知的野外利用，但公开披露增加了风险。CVSS 4.0 评分为 6.3（中危），反映了网络攻击向量、高复杂性、无需权限或用户交互以及有限的机密性影响。此漏洞凸显了在容器化环境中部署带有嵌入式密钥的默认配置所带来的风险。

潜在影响

对于欧洲组织，如果 MartialBE one-hub 使用默认配置部署，此漏洞存在未授权访问敏感会话数据或加密操作的风险。机密性破坏可能导致用户数据或内部通信暴露，损害信任并违反 GDPR 和其他数据保护法规。尽管攻击复杂性高，但针对拥有有价值数据或关键基础设施的组织，熟练的攻击者可以在无需认证的情况下远程利用此漏洞。这可能助长更广泛攻击活动中的横向移动或权限提升。此影响对于依赖安全协作平台的行业尤其显著，例如金融、医疗保健和政府机构。此外，在 DevOps 管道中使用容器编排和默认环境变量很常见，这增加了配置错误的可能性。未能解决此漏洞可能导致监管处罚、声誉损害和运营中断。

缓解建议

欧洲组织应立即审核所有 MartialBE one-hub 部署，以识别默认 docker-compose.yml 文件和 SESSION_SECRET 环境变量的使用情况。将硬编码的 SESSION_SECRET 替换为为每个部署安全生成的、唯一的高熵密钥。实施密钥管理最佳实践，例如使用保险库解决方案或特定于环境的密钥注入机制，而不是将密钥嵌入代码或配置文件。在生产部署前，审查并强化所有环境变量和配置设置。监控针对 one-hub 服务的网络流量中的异常访问模式。应用网络分段和防火墙规则，将对 one-hub 服务的访问限制在受信任的内部网络。与 MartialBE 接洽以获取解决此问题的更新或补丁，并订阅供应商公告。为 DevOps 和基础设施团队进行定期安全培训，以防止部署不安全的默认配置。最后，将配置扫描工具集成到 CI/CD 管道中，以自动检测硬编码的密钥。

受影响国家

德国、法国、英国、荷兰、瑞典、芬兰、比利时、意大利