Discuz!最新版本帖子正文存在存储型xss漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0151687

漏洞标题：Discuz!最新版本帖子正文存在存储型xss漏洞

漏洞作者： Jannock

提交时间：2015-11-04 12:04

修复时间：2015-12-21 10:00

公开时间：2015-12-21 10:00

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-04：细节已通知厂商并且等待厂商处理中
2015-11-06：厂商已经确认，细节仅向厂商公开
2015-11-16：细节向核心白帽子及相关领域专家公开
2015-11-26：细节向普通白帽子公开
2015-12-06：细节向实习白帽子公开
2015-12-21：细节向公众公开

简要描述：

影响官方最新x2.5,x3.x，听说漏洞收藏太久会发霉。

详细说明：

需要开启多媒体代码功能（这个目前很多大站开启了）
source\function\function_discuzcode.php

if(strpos($msglower, '[/flash]') !== FALSE) {
				$message = preg_replace("/\[flash(=(\d+),(\d+))?\]\s*([^\[\<\r\n]+?)\s*\[\/flash\]/ies", $allowmediacode ? "parseflash('\\2', '\\3', '\\4');" : "bbcodeurl('\\4', '<a href=\"{url}\" target=\"_blank\">{url}</a>')", $message);
			}

跟踪
parseflash

function parseflash($w, $h, $url) {
	$w = !$w ? 550 : $w;
	$h = !$h ? 400 : $h;
	preg_match("/((https?){1}:\/\/|www\.)[^\[\"'\?]+(\.swf|\.flv)(\?.+)?/i", $url, $matches);
	$url = $matches[0];
	$randomid = 'swf_'.random(3);
	if(fileext($url) != 'flv') {
		return '<span id="'.$randomid.'"></span><script type="text/javascript" reload="1">$(\''.$randomid.'\').innerHTML=AC_FL_RunContent(\'width\', \''.$w.'\', \'height\', \''.$h.'\', \'allowNetworking\', \'internal\', \'allowScriptAccess\', \'never\', \'src\', encodeURI(\''.$url.'\'), \'quality\', \'high\', \'bgcolor\', \'#ffffff\', \'wmode\', \'transparent\', \'allowfullscreen\', \'true\');</script>';
	} else {
		return '<span id="'.$randomid.'"></span><script type="text/javascript" reload="1">$(\''.$randomid.'\').innerHTML=AC_FL_RunContent(\'width\', \''.$w.'\', \'height\', \''.$h.'\', \'allowNetworking\', \'internal\', \'allowScriptAccess\', \'never\', \'src\', \''.STATICURL.'image/common/flvplayer.swf\', \'flashvars\', \'file='.rawurlencode($url).'\', \'quality\', \'high\', \'wmode\', \'transparent\', \'allowfullscreen\', \'true\');</script>';
	}
}

可以看出
preg_match("/((https?){1}:\/\/|www\.)[^\[\"'\?]+(\.swf|\.flv)(\?.+)?/i", $url, $matches);
正则处理不当
(\?.+)
从而可以带进“'”
到 encodeURI(\''.$url.'\')，从而造成存储型xss

漏洞证明：

内容中提交

[flash]http://localhost/flash.swf?'+alert(0)+'[/flash]

下面是 x25的

大站实例

修复方案：

修正正则

版权声明：转载请注明来源 Jannock@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-11-06 09:59

厂商回复：

感谢您提出的问题，我们会尽快修复

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0151687

漏洞标题：Discuz!最新版本帖子正文存在存储型xss漏洞

相关厂商：Discuz!

漏洞作者： Jannock

提交时间：2015-11-04 12:04

修复时间：2015-12-21 10:00

公开时间：2015-12-21 10:00

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Jannock@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0151687

漏洞标题：Discuz!最新版本帖子正文存在存储型xss漏洞

相关厂商：Discuz!

漏洞作者： Jannock

提交时间：2015-11-04 12:04

修复时间：2015-12-21 10:00

公开时间：2015-12-21 10:00

漏洞类型：xss跨站脚本攻击

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0151687"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Jannock@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：