当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139851

漏洞标题:最新版Discuz修复不全导致仍可针对管理员存储XSS

相关厂商:Discuz!

漏洞作者: RickGray

提交时间:2015-09-09 08:53

修复时间:2015-12-08 10:36

公开时间:2015-12-08 10:36

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-09: 细节已通知厂商并且等待厂商处理中
2015-09-09: 厂商已经确认,细节仅向厂商公开
2015-09-12: 细节向第三方安全合作伙伴开放
2015-11-03: 细节向核心白帽子及相关领域专家公开
2015-11-13: 细节向普通白帽子公开
2015-11-23: 细节向实习白帽子公开
2015-12-08: 细节向公众公开

简要描述:

程序员修漏洞得修完全,不认真就不对了

详细说明:

新版本中修复了在 http://wooyun.org/bugs/wooyun-2010-099979 中所提供的插入点
但是由于程序员的疏忽,修复的代码中仍有可用的 shortcode 可以造成 XSS
具体的漏洞分析都在 http://wooyun.org/bugs/wooyun-2010-099979 中都有提及,其主要原因是由于 /static/js/bbcode.js 文件中的 bbcode2html() 函数对 shortcode 进行正则替换时,导致可以构造 payload,让编辑器渲染时形成 XSS。
通过 diff 前后两个版本可得到 bbcode.js 文件的更新结果:

poc.png


注意红色框所标注部分,虽然厂商对在 http://wooyun.org/bugs/wooyun-2010-099979 中所提及的 payload 进行了过滤,但是红色标注部分的 shortcode 正则替换仍能造成 XSS。
新的 payload 形态为:[email]2"onmouseover="alert(2)[/email]
将 payload 作为帖子内容或者评论,在管理员或者有权限人员对包含 payload 的帖子或者评论进行编辑时,利用 onmouseover 触发 JS 执行。

poc2.png


poc3.png


poc4.png

漏洞证明:

poc2.png


poc4.png

修复方案:

不维护了么?还不更新

版权声明:转载请注明来源 RickGray@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-09 10:34

厂商回复:

感谢您提出的问题,我们会尽快修复

最新状态:

暂无