據報道，美國法院電子司法卷宗公共存取系統PACER存在的跨站請求偽造漏洞，這個存在時間長達30年的漏洞現已被修復。黑客可利用該漏洞劫持賬號，并檢索受害者的民事和刑事訴訟案件卷宗。

PACER是美國法院電子司法卷宗公共存取系統，可供用戶在線獲取聯邦上訴機構、地區和破產法院的案件和訴訟事件表信息。PACER由聯邦司法機關提供，旨在通過集中式服務為用戶提供途徑訪問法院信息。PACER主要使用對象為律師和記者，提取文件中的PDF和網頁需付費10美分，每個文件至多3美元。

Free Law Project(提供法律資料、開發法律研究工具的組織)表示，攻擊者利用這個跨站請求偽造漏洞獲取任何訪客的PACER賬號，而賬號信息可被用來下載PDF，給受害者帶來經濟損失。

美國法院系統PACER存在跨站請求偽造漏洞近30年 -E安全

研究人員表示，PACER使用Cookie存儲登錄憑證存在漏洞。由于這些Cookie未經安全處理，任何網站只需通過一段JavaScript代碼就能調用這些Cookie，并檢索訪客的PACER登錄詳情。

研究人員發布了PoC(概念驗證)證明漏洞風險并表示，PoC發布之前，該漏洞未被大肆利用。但對于PACER用戶而言，未付費會影響信譽，美國法院行政管理辦公室(Administrative Office of the US Courts)還會命人上門收欠款。

但更糟糕的是，PACER自上線開始(20世紀90年代)就可能存在該漏洞。Free Law Project于今年2月報告了該漏洞，本周三終于完全修復。

攻擊者可利用被竊取的賬號詳情免費瀏覽文件，但研究人員曾擔心登錄憑證被盜可能會帶來更嚴重的后果。