一、 漏洞 CVE-2025-62425 基础信息
漏洞信息
# 矩阵认证服务密码可无需当前密码修改
## 概述
MAS(Matrix Authentication Service)是 Element 开发和维护的一项用户管理和认证服务,供 Matrix 消息服务器使用。在版本 0.20.0 至 1.4.0 中存在逻辑漏洞。
## 影响版本
受影响版本:`0.20.0` 至 `1.4.0`
修复版本:`1.4.1`
## 漏洞细节
该漏洞允许攻击者在持有有效 MAS 会话的情况下,无需提供当前密码即可执行敏感操作。这些操作包括:
- 修改当前用户密码
- 添加或移除电子邮件地址
- 注销用户账户
此漏洞仅影响启用了本地密码数据库功能的实例(即配置文件中包含 `passwords` 配置项)。
## 漏洞影响
攻击者可利用此漏洞在无需用户密码的情况下更改账户设置,可能导致账户被恶意接管或注销,造成用户数据泄露或服务中断。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-62425 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-62425 的情报信息
-
标题: Account password can be changed using an authenticated session without supplying the current password · Advisory · element-hq/matrix-authentication-service · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: Better feedback when changing passwords (#5153) · element-hq/matrix-authentication-service@bce99ed · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-62425
四、漏洞 CVE-2025-62425 的评论
暂无评论