cmseasy 存储型XSS一枚(无需登录无视360) | wooyun-2014-069558| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069558

漏洞标题：cmseasy 存储型XSS一枚(无需登录无视360)

漏洞作者： phith0n

提交时间：2014-07-24 16:53

修复时间：2014-10-22 16:54

公开时间：2014-10-22 16:54

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-24：细节已通知厂商并且等待厂商处理中
2014-07-27：厂商已经确认，细节仅向厂商公开
2014-07-30：细节向第三方安全合作伙伴开放
2014-09-20：细节向核心白帽子及相关领域专家公开
2014-09-30：细节向普通白帽子公开
2014-10-10：细节向实习白帽子公开
2014-10-22：细节向公众公开

简要描述：

信pandas出真相！

详细说明：

cmseasy在bbs中回帖处允许非登录用户回帖，但取用户名的时候又是从COOKIE中取的，导致了安全问题：
/bbs/ajax.php

<?php
  require_once 'bbs_public.php';
  if(!defined('ROOT')) exit('can\'t access!');
  //暂时允许用户未登录评论！
  //验证用户登陆相关操作
  //$admin = new action_admin();
  if(isset($_POST['reply'])){
  	  if(!isset($_POST['verify']) || strtolower(trim($_POST['verify'])) != strtolower($_SESSION['verify'])){
  	  	  echo -1; //输入-1表示验证码输入错误！
  	  	  //exit();
  	  }
  	  $data = array();
      $_POST['content'] = unescape($_POST['content']);
      $_POST['content'] = xss_clean($_POST['content']);
      $data['aid'] = isset($_POST['aid']) ? intval($_POST['aid']) : exit(0);
      $data['tid'] = isset($_POST['tid']) ? intval($_POST['tid']) : 0;
      $data['content'] = isset($_POST['content']) ? $_POST['content'] : exit(0);
      $data['username'] = isset($_COOKIE['username']) ? $_COOKIE['username'] : '';
      //$data['userid'] = $admin->userid;
      $data['addtime'] = mktime();
      $data['ip'] = $_SERVER['REMOTE_ADDR'];
      $reply = db_bbs_reply::getInstance();
      $r = $reply->inserData($data);

这是回复处的代码。
可见$data['username'] = isset($_COOKIE['username']) ? $_COOKIE['username'] : '';
cmseasy在bbs_public.php以及xss.php中对$_GET、$_POST的XSS做了严格的过滤，但没有处理$_COOKIE变量，所以这里直接取了$_COOKIE['username']作为用户名，导致存储型XSS。
至于360，它是没对cookie中的xss做处理的，只过滤了注入。

漏洞证明：

未登录的情况下，bbs处回复一篇帖子，中途抓包：

如上图，将cookie的username字段改成xss语句
访问帖子即可中招：

修复方案：

过滤cookie

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2014-07-27 11:31

厂商回复：

感谢

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069558

漏洞标题：cmseasy 存储型XSS一枚(无需登录无视360)

相关厂商：cmseasy

漏洞作者： phith0n

提交时间：2014-07-24 16:53

修复时间：2014-10-22 16:54

公开时间：2014-10-22 16:54

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-069558

漏洞标题：cmseasy 存储型XSS一枚(无需登录无视360)

相关厂商：cmseasy

漏洞作者： phith0n

提交时间：2014-07-24 16:53

修复时间：2014-10-22 16:54

公开时间：2014-10-22 16:54

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-069558"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 phith0n@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：