漏洞关键信息 Title: HomeAutomation v3.3.2 CSRF Add Admin Exploit Advisory ID: ZSL-2019-5558 Type: Local/Remote Impact: Cross-Site Scripting Risk: (3/5) Release Date: 29.12.2019 Summary HomeAutomation 是一个开源的web接口和调度解决方案。它最初是为Tellstick设计的,但现在基于一个插件系统,并支持Crestron、OWFS和Z-Wave(使用OpenZWave)。它基于一个先进的调度系统控制你的设备(开关、调光器等),考虑来自各种传感器的测量值。通过房屋平面图视图,你可以简单地查看设备的状态。 Description 应用程序接口允许用户通过HTTP请求执行某些操作,而不执行任何验证检查来验证请求。如果已登录用户访问恶意网站,这可以被利用以具有管理权限执行某些操作。 Vendor Tom Rosenback 和 Daniel Malmgren - Affected Version 3.3.2 Tested On Apache/2.4.41 (centos) OpenSSL/1.0.2k-fips Apache/2.4.29 (Ubuntu) PHP/7.4.0RC4 PHP/7.3.11 PHP 7.2.24-0ubuntu0.18.04.1 Vendor Status [06.11.2019] 发现漏洞。 [07.11.2019] 联系厂商。 [29.11.2019] 厂商无回应。 [30.11.2019] 再次联系厂商。 [28.12.2019] 厂商无回应。 [29.12.2019] 发布公共安全公告。 PoC homeautomation_csrf.txt Credits 漏洞由Gjoko Krstic发现 - References [1] [2] [3] [4] [5] [6] [7] Changelog [29.12.2019] - 初始发布 [24.01.2020] - 添加引用 [1], [2], [3] 和 [4] [19.06.2021] - 添加引用 [5], [6] 和 [7]