一、 漏洞 CVE-2025-56132 基础信息
漏洞信息
# N/A
## 概述
LiquidFiles 的 `filetransfer` 服务器在其密码重置功能中存在用户枚举漏洞。攻击者可利用该漏洞通过不同响应区分有效和无效的电子邮件地址,从而枚举用户账户。
## 影响版本
- **版本 4.2**:引入了基于用户的锁定机制,但**默认仍允许用户枚举**。
- **4.2 之前版本**:无用户级防护机制,仅采用基础的 IP 速率限制,**易受攻击**。
## 细节
- 应用在密码重置功能中对有效和无效邮箱返回**可区分的响应**。
- 未认证攻击者可据此判断用户账户是否存在。
- 在版本 4.2 之前,仅依赖 IP 限速,可通过多 IP 或代理绕过。
- 攻击者可绕过**登录和密码重置的安全控制**。
## 影响
- 攻击者可成功枚举系统中注册的有效邮箱。
- 增加后续攻击(如密码喷射)的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
LiquidFiles filetransfer server is vulnerable to a user enumeration issue in its password reset functionality. The application returns distinguishable responses for valid and invalid email addresses, allowing unauthenticated attackers to determine the existence of user accounts. Version 4.2 introduces user-based lockout mechanisms to mitigate brute-force attacks, user enumeration remains possible by default. In versions prior to 4.2, no such user-level protection is in place, only basic IP-based rate limiting is enforced. This IP-based protection can be bypassed by distributing requests across multiple IPs (e.g., rotating IP or proxies). Effectively bypassing both login and password reset security controls. Successful exploitation allows an attacker to enumerate valid email addresses registered for the application, increasing the risk of follow-up attacks such as password spraying.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Liquidfiles 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Liquidfiles是美国Liquidfiles公司的一个用于公司和组织的大型安全文件传输和共享的存储服务。 Liquidfiles 4.2之前版本存在安全漏洞,该漏洞源于密码重置功能返回可区分响应,可能导致用户枚举攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-56132 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/fredericgoossens/CVE-2025-56132-Liquidfiles | POC详情 |
三、漏洞 CVE-2025-56132 的情报信息
四、漏洞 CVE-2025-56132 的评论
暂无评论