严重安全漏洞在MyCourts平台中发现:网球俱乐部需知事项
在英国广泛使用的网球场地预订和联赛管理平台MyCourts中发现了一个严重的安全漏洞。该漏洞被分配了标识符CVE-2025-57424,可能允许攻击者劫持用户会话并未经授权访问账户。
事件经过
Aardwolf Security的安全研究员William Fieldhouse在MyCourts应用程序中发现了一个存储型跨站脚本(XSS)漏洞。该弱点存在于一个意想不到的地方:用户资料中的LTA(草地网球协会)号码字段。
该漏洞获得的CVSS评分为7.3,被归类为高严重性。虽然该漏洞现已被修复,但它提醒我们web应用渗透测试的重要性。
攻击原理
该漏洞利用了一个常见的web安全问题:输入验证不足。当用户在个人资料设置中输入LTA号码时,应用程序在将数据存储到数据库之前没有正确检查或清理数据。
攻击者可以向此字段注入恶意JavaScript代码。当其他用户浏览成员目录并查看攻击者的个人资料时,此代码将在他们的浏览器中执行。攻击链工作原理如下:
- 攻击者在LTA号码字段中创建包含恶意代码的个人资料
- 合法用户在目录中浏览攻击者的个人资料
- 恶意JavaScript在受害者浏览器中自动执行
- 脚本窃取受害者的会话cookie
- 攻击者使用被盗会话来访问受害者的账户
使这种情况特别危险的是,MyCourts会话cookie缺少HttpOnly保护标志。这意味着JavaScript可以访问这些cookie,从而实现了会话劫持攻击。
实际风险
这不仅仅是一个理论上的漏洞。利用场景简单直接,可能导致严重后果:
- 会话劫持:攻击者可以窃取活跃的管理员会话,从而完全控制俱乐部管理功能
- 账户接管:通过被盗会话,攻击者可以访问管理功能、修改预订、更改用户详细信息或访问财务信息
- 持久访问:一旦捕获,会话令牌可以在无需重新认证的情况下重复使用,允许攻击者维持长期未经授权的访问
- 数据泄露:完全访问敏感用户信息、预订数据以及系统中存储的潜在支付详细信息
好消息
MyCourts背后的供应商HBI Consulting Ltd对披露做出了快速而专业的响应。该漏洞于2025年8月报告,并在同月作为其常规月度发布周期的一部分部署了修复。
Aardwolf Security已独立验证了修复措施,确认存储型XSS漏洞已成功解决。
网球俱乐部应采取的措施
如果您的组织使用MyCourts,应采取以下行动:
- 验证版本:确保您正在运行2025年8月发布版或更高版本。如果不确定当前版本,请联系HBI Consulting Ltd
- 审查用户活动:检查在漏洞窗口期间是否有任何可疑的账户活动或未经授权的访问
- 更新安全实践:借此机会审查整体安全状况,确保所有web应用程序保持最新状态
Web安全经验教训
此漏洞凸显了几个重要的安全原则:
- 输入验证至关重要:即使是看似无害的字段(如会员号码)也需要适当的验证。永远不要信任用户输入
- 深度防御:多重安全控制至关重要。如果在cookie上设置了HttpOnly标志,此XSS漏洞的影响将显著降低
- 输出编码:所有用户提供的数据在显示到网页之前必须经过适当编码
- 定期安全测试:漏洞可能存在于意想不到的地方。定期的安全评估和代码审查至关重要
负责任披露的重要性
此案例展示了负责任披露实践的价值。研究人员与供应商合作,在公开披露细节之前留出时间开发和部署修复。这种方法在保护用户的同时,仍能将重要的安全问题公之于众。
由于安全研究人员和供应商之间的协调努力,MyCourts用户现在可以受益于改进的安全性。
展望未来
虽然此特定漏洞已得到解决,但它提醒我们web应用程序安全需要持续关注。组织应在其整个开发生命周期中优先考虑安全,并实施全面的测试,以在漏洞被利用之前识别和解决它们。
HBI Consulting Ltd的快速响应和Aardwolf Security的彻底研究展示了安全社区如何共同努力保护用户并提高软件安全性。
来源:有关完整技术细节,包括概念证明和修复建议,请阅读原始漏洞披露。
关于发现者:此漏洞由Aardwolf Security的William Fieldhouse在2025年8月进行的安全研究中发现。