关键漏洞信息 概述 漏洞名称: Session Persistence After Enabling 2FA (CVE-2025-60425) 受影响产品: Nagios Fusion (版本2024R1.2和2024R2) 问题描述: 启用2FA后,现有会话仍然有效,允许攻击者绕过2FA机制并执行未经授权的操作。 严重性 严重程度: 高 CWE: CWE-613 (主要), CWE-287 (次要) CVSS分数: 7.3 (高) CVSS向量: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 受影响组件 认证网关/会话服务: 会话的创建、验证和撤销逻辑。 2FA注册与策略引擎: 升级账户保证级别而不撤销现有令牌的逻辑。 Web前端/API: 依赖遗留会话状态的授权检查。 设备管理: 记住的设备/受信会话存储(cookie、刷新令牌、服务器端会话)。 影响的厂商/产品 产品名称: Nagios Fusion 受影响版本: 2024R1.2和2024R2 修复版本: 2024R2.1 问题总结 1. 用户在其账户上启用2FA。 2. 服务器更新用户的MFA/保证状态,但不使现有会话无效或重新挑战。 3. 任何活动会话(包括攻击者控制的客户端上的会话)继续以预2FA上下文操作,有效地绕过预期的控制提升。 安全态势差距 启用2FA是安全边界的变化。未能强制会话升级(重新认证+2FA)并撤销遗留会话会抵消控制的风险降低。 现实滥用场景 攻击者使用被盗的会话cookie在启用2FA后仍可访问,并可以窃取数据或更改账户设置。 共享的键盘或未管理的设备保持一个绕过新MFA要求的活动会话。 缓解建议 在2FA注册或因素重置时,撤销所有现有会话(访问+刷新令牌),并在设备上要求新鲜的主要认证+2FA。 旋转会话密钥(例如,更改签名密钥或增加服务器端会话版本)以使陈旧的令牌失效。 将maxAge和idleTimeout设置为合理的值;减少长时间存在的会话。 披露时间线 2025年1月4日: 漏洞被发现 2025年1月4日: 报告给厂商 2025年1月10日: 厂商确认漏洞 2025年7月23日: 厂商发布新版本修补漏洞 2025年8月16日: 申请CVE 2025年10月23日: 分配CVE