当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-078509

漏洞标题:蘑菇街存在XXE漏洞

相关厂商:蘑菇街

漏洞作者: 基佬库克

提交时间:2014-10-07 08:39

修复时间:2014-11-21 08:40

公开时间:2014-11-21 08:40

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-07: 细节已通知厂商并且等待厂商处理中
2014-10-08: 厂商已经确认,细节仅向厂商公开
2014-10-18: 细节向核心白帽子及相关领域专家公开
2014-10-28: 细节向普通白帽子公开
2014-11-07: 细节向实习白帽子公开
2014-11-21: 细节向公众公开

简要描述:

虽然漏洞存在,但情景比较特殊,利用很有限,应提早引起重视,已防将来业务改变引起更大问题

详细说明:

二哥的典型例子:
http://wooyun.org/bugs/wooyun-2010-058381
这边也有:
http://wooyun.org/bugs/wooyun-2014-073439
介绍可以看这里:
http://wooyun.org/bugs/wooyun-2010-058381
出问题的点在校招平台上传docx文件,docx是典型的xml文件(压缩过的)
对实体做解析就会允许远程访问网站,本地文件访问,DOS攻击
在这个场景下利用比较有限吧,因为返回的数据有限。
对docx解析后,只提取其中 电话 邮箱 学校等信息,信息过长的话又会被忽略返回数据。
所有普通看一些文件是行不通的,可利用的话就访问网站和dos攻击了。

漏洞证明:

以下证明其可以进行网站的访问:
首先在自己的网站部署一个页面:内有少量数据
如:http://xxxx/xxe.htm
构造如下的xml实体:
<!DOCTYPE ANY [
<!ENTITY xee SYSTEM "http://xxxxx/xxe.htm">
]>
<w:t>&xee;@qq.com</w:t>
将这份docx提交,最终被解析成对用数据

修复方案:

换用安全的解析库
顺便问下,你们校招人数是不是很少,10个都不招1个?

版权声明:转载请注明来源 基佬库克@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-10-08 10:25

厂商回复:

感谢@基佬库克,该漏洞已修复!

最新状态:

暂无