Критическая уязвимость в системе управления документами M-Files Server позволяет аутентифицированным злоумышленникам перехватывать активные сессионные токены через веб-интерфейс M-Files Web. Это открывает путь к полному присвоению личности пользователя и несанкционированному доступу к конфиденциальной информации. Уязвимость, получившая идентификатор CVE-2025-13008, была обнародована 19 декабря 2025 года и затрагивает несколько версий сервера, используемых в корпоративной среде.
Детали уязвимости
Проблема, оцененная как высокоопасная с баллом 8.6 по шкале CVSS 4.0, относится к типу раскрытия информации. Её суть заключается в недостаточной защите механизмов сессионных токенов в компоненте M-Files Web. Аутентифицированный злоумышленник, воспользовавшись этой слабостью, может перехватить и украсть токены сессии других пользователей, активно работающих в системе. Примечательно, что для успешной атаки требуется, чтобы жертва выполнила определенные клиентские операции, что создает окно возможности для захвата токена в течение активного сеанса.
Владение украденным токеном сессии позволяет злоумышленнику полностью выдать себя за легитимного пользователя, унаследовав его личность, права доступа и привилегии. Следовательно, это открывает возможность несанкционированного просмотра конфиденциальных документов, изменения важных записей и выполнения привилегированных действий без обнаружения. Такая атака может обойти традиционные средства контроля аутентификации, поскольку злоумышленник использует действительные учетные данные сессии, а не компрометирует пароли пользователей.
Уязвимость затрагивает инсталляции M-Files Server, работающие на версиях до 25.12.15491.7, а также долгосрочные поддерживаемые (LTS) выпуски: до LTS 25.8 SR3 (25.8.15085.18), LTS 25.2 SR3 (25.2.14524.14) и LTS 24.8 SR5 (24.8.13981.17). Разработчик присвоил уязвимости высокий рейтинг, указывающий на значительный потенциал для нарушения конфиденциальности, целостности и доступности данных. С технической точки зрения проблема классифицируется как CWE-359 (Раскрытие личной информации неавторизованному лицу) и соответствует шаблону атаки CAPEC-60 (Повторное использование идентификаторов сессии).
В настоящее время не зафиксировано случаев активного использования этой уязвимости в дикой среде, так как информация была раскрыта ответственно. Однако вероятность будущих атак существует, особенно если организации затянут с установкой обновлений. Эксперты по кибербезопасности настоятельно рекомендуют компаниям, использующим M-Files Server, немедленно обновиться до исправленных версий: 25.12.15491.7 или соответствующего сервис-релиза LTS для их развертывания.
Кроме того, до полного внедрения патчей командам информационной безопасности следует провести аудит журналов доступа к M-Files Web на предмет подозрительных паттернов активности сессий. Также целесообразно усилить мониторинг аномалий в токен-ориентированной аутентификации. Подобные уязвимости, связанные с перехватом сессий, подчеркивают важность комплексной защиты на всех уровнях, включая не только контроль доступа, но и безопасность механизмов поддержания сеанса работы пользователя. Своевременное обновление программного обеспечения остается ключевой мерой для предотвращения потенциальных инцидентов, связанных с утечкой чувствительных корпоративных данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-13008
- https://product.m-files.com/security-advisories/cve-2025-13008
