CVE-2015-20113CVE-2015-20113是Next Click Ventures RealtyScript 4.0.2版本中存在的安全漏洞,包含了跨站请求伪造(CSRF)和持久型跨站脚本(Persistent XSS)两种漏洞类型。该漏洞允许攻击者执行未授权的管理操作,并注入恶意脚本代码。由于该XSS为持久型存储型漏洞,恶意脚本会被保存在服务器端,所有访问受影响页面的用户都会受到攻击。攻击者可以构造恶意网页,当已登录的管理员访问时,会自动执行攻击者预设的请求,从而在管理员不知情的情况下完成敏感操作,如添加恶意管理员账户、修改系统配置等。同时,攻击者注入的恶意脚本可以在用户浏览器中执行,窃取会话令牌、劫持用户账户或进行钓鱼攻击。此漏洞无需认证即可利用,且无需用户交互,攻击门槛较低,危害范围较广。
该漏洞主要包含两个安全缺陷。首先是跨站请求伪造(CSRF)漏洞:RealtyScript 4.0.2的管理后台缺少对关键操作(如添加用户、修改配置)的CSRF Token验证机制。攻击者可以构造包含恶意表单的网页,当管理员访问时,浏览器会自动向目标服务器发送携带管理员Cookie的请求,从而在管理员不知情的情况下执行添加管理员账户、删除数据等敏感操作。其次是持久型XSS漏洞:应用程序对用户输入的数据(如房产描述、用户资料等字段)缺乏充分的输入验证和输出编码,导致攻击者可以注入JavaScript等脚本代码。这些恶意代码会被永久存储在数据库中,当其他用户访问相关页面时,服务器会直接将恶意代码返回给用户浏览器执行。攻击者可以利用此漏洞窃取受害者的会话Cookie、进行键盘记录、修改页面内容或重定向用户到钓鱼网站。由于RealtyScript是房地产网站管理系统,攻击者还可能通过XSS漏洞窃取用户的个人信息和房产交易数据。