CVE-2025-14692：Mayan EDMS 中的开放重定向漏洞

严重性： 中危 类型： 漏洞 CVE 编号： CVE-2025-14692

漏洞描述

在 Mayan EDMS 4.10.1 及更早版本中发现一个缺陷。受影响的组件是 /authentication/ 路径中一个未知的函数。此漏洞导致开放重定向。攻击可以远程发起。漏洞利用代码已公开，并可能被利用。升级到 4.10.2 版本足以解决此问题。受影响的组件应进行升级。供应商确认此漏洞"[已在版本 4.10.2 中修复]"。此外，"[旧版本的后向移植正在处理中，将在其各自的 CI 流水线完成后发布]"。

技术分析

CVE-2025-14692 是一个影响 Mayan EDMS（一个广泛用于安全管理和存储文档的开源电子文档管理系统）的开放重定向漏洞。该漏洞存在于 /authentication/ 路径内的一个未指定函数中，允许攻击者构造将用户重定向到任意外部网站的 URL。此漏洞可以远程利用且无需身份验证，只需要用户点击恶意链接即可。开放重定向可被用于钓鱼活动，诱骗用户访问恶意网站，可能导致凭证盗窃、恶意软件感染或进一步的社工攻击。

CVSS 4.0 向量指标表明：攻击途径为网络（AV:N），攻击复杂度低（AC:L），无需权限（PR:N），需要用户交互（UI:P），对完整性影响有限（VI:L），对机密性和可用性无影响。供应商已在 4.10.2 版本中解决了此问题，并正在为旧的支持版本准备后向移植补丁。尽管尚未报告主动利用，但漏洞利用代码的公开增加了修补的紧迫性。该漏洞突显了在身份验证工作流中验证和清理重定向 URL 以防止滥用的重要性。

潜在影响

对于欧洲组织而言，此开放重定向漏洞主要通过钓鱼和社工攻击构成重大风险。攻击者可利用此缺陷将用户重定向至可能窃取凭据或传播恶意软件的恶意网站，破坏用户信任，并可能导致对 Mayan EDMS 管理的敏感文档的未授权访问。鉴于文档管理系统在金融、医疗保健和政府等合规性要求严格的行业中的关键作用，漏洞利用可能导致数据泄露、GDPR 下的监管罚款和声誉损害。中等 CVSS 评分反映了中等影响，但易于利用且无需权限的特性扩大了威胁面。依赖 Mayan EDMS 进行安全文档工作流的组织可能面临针对性攻击风险增加，尤其是当用户未接受过识别可疑链接的培训时。该漏洞不会直接损害系统完整性或可用性，但可作为更广泛攻击的有效载体。

缓解建议

欧洲组织应立即将所有 Mayan EDMS 安装升级到 4.10.2 或更高版本，以修复此漏洞。对于无法立即升级的环境，应在认证重定向参数上实施严格的 URL 验证和过滤，以阻止不受信任或外部 URL。部署具有自定义规则的 Web 应用防火墙（WAF），以检测和阻止针对 Mayan EDMS 端点的开放重定向尝试。加强关注与 URL 重定向相关的钓鱼风险的用户意识培训，并鼓励用户在点击前验证 URL。监控日志中是否存在异常的重定向模式或与认证相关请求的激增。与 IT 安全团队协调，进行专门针对开放重定向载体的渗透测试和漏洞扫描。最后，及时关注供应商发布的后向移植补丁，并立即应用，以确保所有支持版本的安全性。

受影响国家

德国、法国、英国、荷兰、瑞典、比利时、意大利、西班牙

技术细节

• 数据版本： 5.2
• 分配者简称： VulDB
• 日期预留： 2025-12-14T10:41:33.237Z
• CVSS 版本： 4.0
• 状态： 已发布
• 威胁 ID： 693f4d23b0f1e1d5302caa57
• 添加到数据库： 2025年12月14日，23:49:55
• 最后丰富： 2025年12月15日，00:04:56
• 最后更新： 2025年12月15日，05:49:00

来源： CVE 数据库 V5 发布时间： 2025年12月14日（星期日）