CVE-2019-25244CVE-2019-25244是Legrand BTicino Driver Manager F454 1.0.51版本中发现的安全漏洞。该产品是意大利BTicino公司生产的智能家居/楼宇自动化控制设备管理器。漏洞存在于Web管理界面中,由于缺乏对用户请求的适当验证,攻击者可以通过构造恶意请求执行以下操作:1)利用跨站请求伪造(CSRF)漏洞,在无需管理员认证的情况下更改管理员密码;2)通过未验证的GET参数注入存储型跨站脚本(XSS)载荷,当其他管理员访问相关页面时,恶意脚本将在其浏览器中执行。该漏洞的CVSS评分为5.3,属于中等严重程度,攻击向量为网络层面,无需认证和用户交互即可发起攻击。虽然机密性和完整性影响较低,但攻击者成功利用后可完全接管设备管理权限,对智能楼宇系统的安全性构成严重威胁。
该漏洞主要包含两个独立但相关的安全问题。第一,CSRF漏洞:Web应用未实现CSRF令牌机制,攻击者可以构造恶意HTML页面或链接,诱使已登录的管理员访问,当浏览器自动发送携带有效会话Cookie的请求时,攻击者即可执行任意管理操作,包括修改管理员密码。攻击者首先创建一个托管恶意表单的网页,该表单包含密码修改请求,当管理员访问时,浏览器自动提交请求,由于应用缺少请求来源验证,攻击者可以成功更改密码。第二,存储型XSS漏洞:应用未对GET参数进行充分的输入验证和输出编码,攻击者可以通过URL参数注入JavaScript代码,这些恶意代码会被存储在服务器端,当其他用户查看相关页面时,恶意脚本在用户浏览器上下文中执行,可窃取会话Cookie、伪造用户操作或进行钓鱼攻击。攻击者只需构造包含<script>alert('XSS')</script>的URL并诱导用户访问即可触发。