当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023894

漏洞标题:PHPWind flash xss 0day?

相关厂商:phpwind

漏洞作者: Adra1n

提交时间:2013-05-16 17:31

修复时间:2013-06-30 17:32

公开时间:2013-06-30 17:32

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-16: 细节已通知厂商并且等待厂商处理中
2013-05-17: 厂商已经确认,细节仅向厂商公开
2013-05-27: 细节向核心白帽子及相关领域专家公开
2013-06-06: 细节向普通白帽子公开
2013-06-16: 细节向实习白帽子公开
2013-06-30: 细节向公众公开

简要描述:

突然发现的,在乌云上一搜,是insight-labs提交了的一个,官方回复已经修复,但是修复不完整。

详细说明:

在测试其他网站时,发现了这个flash文件,看了下代码,

ExternalInterface.call(this.jQuery, "jPlayerFlashEvent", arg0.type, this.extractStatusData(arg0.data));


搜索jquery:

this.jQuery = loaderInfo.parameters.jQuery + "('#" + loaderInfo.parameters.id + "').jPlayer";


显然没有过滤,并且可以控制。
在乌云上搜索了下看到了 WooYun: PHPWind flash xss 0day [2] 这个,试了poc是修复的,但是直接填写alert还是会弹出框框来,本来想是无法利用的,突然想到不用alert改用document.write,还有既然id也能控制,写上<iframe>,发现在页面上出现个框框,但是写<iframe src=javascript:alert(document.domain)>发现是不能执行的。
试着进行了下js编码,还真成功了。

漏洞证明:

http://www.phpwind.net/res/js/dev/util_libs/jPlayer/Jplayer.swf?jQuery=document.write&id=\x3c\x69\x66\x72\x61\x6d\x65\x20\x73\x72\x63\x3d\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3a\x61\x6c\x65\x72\x74\x28\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x64\x6f\x6d\x61\x69\x6e\x29\x3e


预览了下发现自动把一个反斜杠变为两个了。自己处理下吧。

QQ截图20130516172334.png

修复方案:

版权声明:转载请注明来源 Adra1n@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2013-05-17 13:45

厂商回复:

非常感谢您对我们的支持与关注,该漏洞我们正在修复~ ^_^

最新状态:

暂无