关键漏洞信息 CVE ID: CVE-2025-61138 漏洞发现者: Israel A 发现日期: 2025年9月6日 公开披露日期: 2025年10月28日 描述 Qlik Sense Enterprise v14.212.13 版本通过 目录存在信息泄露漏洞。 补充信息 Qlik 应用程序用于通过仪表板呈现结构化数据。 DEV-HUB 面板被直接暴露在互联网上,允许查看开发信息和 API 令牌等敏感信息。 认证通过匿名会话令牌进行,无需用户登录。 此面板在多个使用相同工具的门户中被识别。 与 Qlik 巴西代表的供应商会议于2025年4月举行,问题已知,但无可用修复方案。 管理环境会议于2025年4月举行,建议从外部 DNS 中移除 目录以作为变通方案。 注:CVE-2024-55580 (远程代码执行) 已修复,但此次暴露未得到解决。 漏洞详情 类型: 不安全的权限 厂商: Qlik 产品: Qlik Sense Enterprise 版本: v14.212.13 组件: 目录 攻击类型: 远程 影响: 信息披露(是) CWE: https://cwe.mitre.org/data/definitions/732.html 攻击向量与重现方式 直接在任意浏览器中访问该面板,无需身份验证提示: https://paineisanalytics.cnj.jus.br/dev-hub/ -> 暴露 https://transparencia.stf.jus.br/dev-hub/ -> 缓解(已从 DNS 中移除) https://dados.tjrj.jus.br/dev-hub/ -> 缓解(已从 DNS 中移除) 概念验证 POC URL: https://github.com/user-attachments/assets/7c556499-7721-4682-a376-c1b272e33a38 完整PoC 仓库: https://github.com/Israel0x00/poc-qlik/tree/main 缓解措施 从外部 DNS 中移除 目录。 强制进行认证。 限制对内部网络的访问。 发现者: Israel A ``` 从截图中提取的关键信息包括CVE身份、漏洞类型、影响的产品和版本、攻击向量、一个概念验证、以及建议的缓解措施。这些信息对理解和应对该漏洞至关重要。