当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139851

漏洞标题:最新版Discuz修复不全导致仍可针对管理员存储XSS

相关厂商:Discuz!

漏洞作者: RickGray

提交时间:2015-09-09 08:53

修复时间:2015-12-08 10:36

公开时间:2015-12-08 10:36

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-09: 细节已通知厂商并且等待厂商处理中
2015-09-09: 厂商已经确认,细节仅向厂商公开
2015-09-12: 细节向第三方安全合作伙伴开放
2015-11-03: 细节向核心白帽子及相关领域专家公开
2015-11-13: 细节向普通白帽子公开
2015-11-23: 细节向实习白帽子公开
2015-12-08: 细节向公众公开

简要描述:

程序员修漏洞得修完全,不认真就不对了

详细说明:

新版本中修复了在 http://wooyun.org/bugs/wooyun-2010-099979 中所提供的插入点
但是由于程序员的疏忽,修复的代码中仍有可用的 shortcode 可以造成 XSS
具体的漏洞分析都在 http://wooyun.org/bugs/wooyun-2010-099979 中都有提及,其主要原因是由于 /static/js/bbcode.js 文件中的 bbcode2html() 函数对 shortcode 进行正则替换时,导致可以构造 payload,让编辑器渲染时形成 XSS。
通过 diff 前后两个版本可得到 bbcode.js 文件的更新结果:

poc.png


注意红色框所标注部分,虽然厂商对在 http://wooyun.org/bugs/wooyun-2010-099979 中所提及的 payload 进行了过滤,但是红色标注部分的 shortcode 正则替换仍能造成 XSS。
新的 payload 形态为:[email]2"onmouseover="alert(2)[/email]
将 payload 作为帖子内容或者评论,在管理员或者有权限人员对包含 payload 的帖子或者评论进行编辑时,利用 onmouseover 触发 JS 执行。

poc2.png


poc3.png


poc4.png

漏洞证明:

poc2.png


poc4.png

修复方案:

不维护了么?还不更新

版权声明:转载请注明来源 RickGray@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-09 10:34

厂商回复:

感谢您提出的问题,我们会尽快修复

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-09 08:54 | #6c6c6c ( 普通白帽子 | Rank:300 漏洞数:50 | 像一条狗孤独的活着,渴望的活着,绝望的活...)

    = =.233

  2. 2015-09-09 09:18 | 小龙 ( 普通白帽子 | Rank:1324 漏洞数:332 | 乌云有着这么一群人,在乌云学技术,去某数...)

    要火的节奏啊!

  3. 2015-09-09 09:52 | 内谁 ( 实习白帽子 | Rank:81 漏洞数:5 | 我是内谁)

    关注下

  4. 2015-09-14 03:06 | dr.m1st3r ( 路人 | Rank:27 漏洞数:5 | o)

    mark

  5. 2015-09-14 11:07 | ba1ma0 ( 路人 | Rank:4 漏洞数:1 | 什么都不会..)

    666

  6. 2015-09-14 16:31 | ModNar ( 路人 | Rank:29 漏洞数:3 | 路人甲)

    这。。是我发的那个的绕过么

  7. 2015-09-17 08:48 | Nelion ( 路人 | Rank:27 漏洞数:20 | 老实,腼腆,潜力股;不谈情,不说爱,只泡...)

    mark

  8. 2015-12-08 10:38 | Pzacker ( 路人 | Rank:12 漏洞数:5 | 请用你知道的去帮助别人,就像别人当初帮助...)

    666666