一、 漏洞 CVE-2025-56132 基础信息
漏洞信息
# N/A
## 概述
LiquidFiles 的 `filetransfer` 服务器在其密码重置功能中存在用户枚举漏洞。攻击者可利用该漏洞通过不同响应区分有效和无效的电子邮件地址,从而枚举用户账户。
## 影响版本
- **版本 4.2**:引入了基于用户的锁定机制,但**默认仍允许用户枚举**。
- **4.2 之前版本**:无用户级防护机制,仅采用基础的 IP 速率限制,**易受攻击**。
## 细节
- 应用在密码重置功能中对有效和无效邮箱返回**可区分的响应**。
- 未认证攻击者可据此判断用户账户是否存在。
- 在版本 4.2 之前,仅依赖 IP 限速,可通过多 IP 或代理绕过。
- 攻击者可绕过**登录和密码重置的安全控制**。
## 影响
- 攻击者可成功枚举系统中注册的有效邮箱。
- 增加后续攻击(如密码喷射)的风险。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞是LiquidFiles文件传输服务器在密码重置功能中存在用户枚举问题,允许未经身份验证的攻击者通过不同的响应来判断电子邮件地址是否有效,从而确定用户账户的存在。此漏洞存在于服务端,攻击者可以通过分布式的请求(例如,使用旋转IP或代理)绕过基于IP的限速保护,从而成功枚举出有效的电子邮件地址,增加了进一步攻击的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
LiquidFiles filetransfer server is vulnerable to a user enumeration issue in its password reset functionality. The application returns distinguishable responses for valid and invalid email addresses, allowing unauthenticated attackers to determine the existence of user accounts. Version 4.2 introduces user-based lockout mechanisms to mitigate brute-force attacks, user enumeration remains possible by default. In versions prior to 4.2, no such user-level protection is in place, only basic IP-based rate limiting is enforced. This IP-based protection can be bypassed by distributing requests across multiple IPs (e.g., rotating IP or proxies). Effectively bypassing both login and password reset security controls. Successful exploitation allows an attacker to enumerate valid email addresses registered for the application, increasing the risk of follow-up attacks such as password spraying.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Liquidfiles 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Liquidfiles是美国Liquidfiles公司的一个用于公司和组织的大型安全文件传输和共享的存储服务。 Liquidfiles 4.2之前版本存在安全漏洞,该漏洞源于密码重置功能返回可区分响应,可能导致用户枚举攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-56132 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/fredericgoossens/CVE-2025-56132-Liquidfiles | POC详情 |
| 2 | LiquidFiles filetransfer server before 4.2 contains a user enumeration vulnerability caused by distinguishable responses in password reset functionality, letting unauthenticated attackers enumerate valid user accounts, exploit requires no authentication. | https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-56132.yaml | POC详情 |
三、漏洞 CVE-2025-56132 的情报信息
标题: Release Notes Version 4.2.x | LiquidFiles Documentation -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 版本 4.2.2 (发布于 2025-09-30) - **安全修复**:修复了阻止扩展名有时可能被绕过的问题。 - **插件安全**:阻止在经典Outlook中发送电子邮件。 #### 版本 4.2.1 (发布于 2025-09-02) - **API工具添加**:添加了`dig`工具用于`tcping`, `https_test`和`http_test`,使其与`i2 Setup`菜单中的功能相同。 #### 不兼容性和警告 - **API更改**:旧的`Available Chunks`方法已被移除,请改用`Individual Chunks`方法检查上传文件。 - **Filedrop API使用**:当启用受信方验证时,访问Filedrop API需要提供有效的用户API密钥;使用密码保护的Filedrops进行API请求时,需先生成Filedrop API密钥。 ``` 这些信息表明LiquidFiles在版本更新中特别关注了安全性和API接口的调整,以增强系统的安全性并确保API调用的正确性。
标题: LiquidFiles v4.2 Information | LiquidFiles -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **登录限制**:如果用户连续10次登录失败,将被要求更改密码。 - **非存在账户和友好错误消息**:尝试使用不存在的账户进行身份验证时,非存在电子邮件将在大约一天内被阻止登录(随机在18到36小时之间)。 - **输入验证增强**:对管理功能进行了更强的输入验证。 - **CSP配置**:如果启用了严格的主机名验证,CSP现在使用公共主机名而不是'self'。 - **API访问控制**:当使用API访问Filedrop时,需要发送有效的用户API密钥或设置的Fildrop密码。 这些变化表明LiquidFiles v4.2在安全性方面进行了多项改进,以防止潜在的攻击和滥用。
- https://nvd.nist.gov/vuln/detail/CVE-2025-56132
四、漏洞 CVE-2025-56132 的评论
暂无评论