漏洞概述
M-Files Server 在 26.1.15632.3 版本之前存在拒绝服务(DoS)漏洞。经过身份验证且具有保管库管理员权限的攻击者可通过调用特定的 API 端点,导致 M-Files Server 进程崩溃,从而造成服务不可用。
漏洞详情
- CVE 编号:CVE-2026-0663
- 漏洞类型:CWE-1286(未正确处理异常条件导致的拒绝服务)
- CVSS 评分:6.9(中危)
- 影响版本:M-Files Server 26.1.15632.3 之前的版本
影响范围
所有运行 M-Files Server 且版本低于 26.1.15632.3 的系统均受影响,前提是攻击者已获得保管库管理员权限。
风险分析
该漏洞允许具有高权限(保管库管理员)的认证用户触发服务器进程崩溃,导致拒绝服务。虽然无法直接用于远程代码执行或信息泄露,但可能对业务连续性造成影响,特别是在多用户或关键业务环境中。
修复建议
- 建议用户尽快升级至 M-Files Server 26.1.15632.3 或更高版本,以修复该漏洞。
- 在无法立即升级的情况下,应严格限制保管库管理员权限的分配,仅授予可信用户,并监控异常 API 调用行为。
