CVE-2025-59683: Pexip Infinity 中的 CWE-863 不正确授权漏洞

严重性：高 类型：漏洞

CVE-2025-59683

CVE-2025-59683 是 Pexip Infinity 版本 15.0 至 38.0（在 38.1 之前）中的一个高危漏洞，涉及与 Office 365 旧版 Exchange 令牌一起使用时，Secure Scheduler for Exchange 服务中的访问控制不当。此缺陷允许远程攻击者读取敏感数据并导致资源耗尽，从而引发拒绝服务，且无需身份验证或用户交互。该漏洞源于不正确的授权检查（CWE-863），使得未授权的数据访问和服务中断成为可能。尽管目前尚未有已知的野外漏洞利用报告，但 CVSS 评分 8.2 表明存在重大风险。使用受影响 Pexip Infinity 版本并与 Office 365 集成的欧洲组织面临风险，尤其是那些依赖旧版令牌配置的组织。缓解措施需要及时打补丁升级到版本 38.1 或更高。

技术分析

CVE-2025-59683 识别了 Pexip Infinity 的 Secure Scheduler for Exchange 服务中的一个不当授权漏洞（CWE-863），特别是在与 Office 365 旧版 Exchange 令牌集成时。受影响的版本范围为 15.0 至 38.0（在 38.1 之前）。该缺陷的产生是因为服务未能正确执行访问控制策略，允许远程攻击者绕过授权检查。这使得攻击者能够读取本应受保护的敏感调度数据，并过度消耗系统资源，可能导致拒绝服务（DoS）。该漏洞可通过网络利用，无需任何权限或用户交互，增加了其风险状况。CVSS v3.1 基础评分 8.2 反映了其对可用性的高影响和对机密性的中等影响，且攻击复杂度低，无需先决条件。

尽管尚未有公开的漏洞利用报告，但该漏洞的性质和易于利用性使其成为使用集成了旧版 Office 365 令牌的 Pexip Infinity 的组织的一个关键问题。根本原因在于 Secure Scheduler 组件中授权逻辑的实现不正确，未能验证请求实体是否具有访问或操作调度数据的适当权限。这可能导致未授权的数据泄露和资源耗尽，从而破坏服务的可用性。

潜在影响

对于欧洲组织而言，CVE-2025-59683 的影响可能很重大，特别是对于那些依赖 Pexip Infinity 进行与 Office 365 环境集成的视频会议和调度的组织。对调度数据的未授权访问可能暴露敏感的会议细节、参与者信息和内部通信，可能导致隐私侵犯和信息泄露。拒绝服务方面可能破坏关键的通信基础设施，影响业务连续性和运营效率。在金融、政府、医疗保健和关键基础设施等对安全通信至关重要的部门，组织可能面临更高的风险。

此外，利用此漏洞可能被用作针对协作平台的更广泛攻击活动的一部分。缺乏身份验证要求和易于利用的特点增加了攻击的可能性，可能会影响欧洲各地的广泛组织。资源耗尽攻击可能降低服务性能或导致中断，影响用户生产力和对平台的信任。

缓解建议

为缓解 CVE-2025-59683，组织应立即将 Pexip Infinity 升级到 38.1 或更高版本，该版本已修复此漏洞。如果无法立即升级，组织应禁用或限制 Secure Scheduler for Exchange 服务的使用，特别是在使用 Office 365 旧版 Exchange 令牌时。审查并逐步淘汰旧版令牌的使用，转而采用现代身份验证机制（如 OAuth 2.0），可以减少暴露风险。网络级控制，如 IP 白名单和网络分段，可以限制对受影响服务的访问。建议对调度程序服务上的异常资源消耗或未授权访问尝试实施严格的监控和警报。此外，组织应审计其调度数据访问日志以检测潜在的未授权活动。与 Pexip 支持团队协调并遵循供应商公告将确保及时应用补丁和最佳实践。最后，对 IT 和安全团队进行有关此漏洞及其利用途径的教育将增强准备和响应能力。

受影响国家

德国、英国、法国、荷兰、瑞典、挪威、丹麦、芬兰、比利时、瑞士