当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(5) 关注此漏洞

缺陷编号: WooYun-2013-38423

漏洞标题: cmseasy存储型xss漏洞(代码分析)

相关厂商: cmseasy

漏洞作者: Aring

提交时间: 2013-09-28 15:35

公开时间: 2013-11-12 15:36

漏洞类型: XSS 跨站脚本攻击

危害等级: 低

自评Rank: 1

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 持久型xss 存储型xss

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-09-28: 厂商已经确认,细节仅向厂商公开
2013-10-08: 细节向核心白帽子及相关领域专家公开
2013-10-18: 细节向普通白帽子公开
2013-10-28: 细节向实习白帽子公开
2013-11-12: 细节向公众公开

简要描述:

cmseay存储型xss 下载的版本为CmsEasy_5.5_UTF-8_20130910

详细说明:

bbs/add-archive.php

code 区域
<?php


  require_once 'bbs_public.php';


  //验证用户登陆相关操作,所以测试前需要注册一个用户


  $admin = new action_admin();


  $admin->check_login(); //验证用户登录


......省略........


 if(isset($_POST['submit'])){


  	  if(strtolower(trim($_POST['verify'])) != strtolower($_SESSION['verify'])){ //确认验证码


          action_public::turnPage('index.php','验证码输入错误!');


  	  }


      $archive = db_bbs_archive::getInstance();


      unset($_POST['submit']);


      unset($_POST['verify']);


      $_POST['username'] = $_COOKIE['login_username']; //验证用户登录


      $_POST['userid'] = $admin->userid;


      $_POST['ip'] = $_SERVER['REMOTE_ADDR'];


      $_POST['addtime'] = mktime();


      if($id = $archive->inserData($_POST)){ //问题在这里,title没有未过滤


          action_public::turnPage('archive-display.php?aid='.$id,'文章添加成功');


      }else{


      	  action_public::turnPage('index.php','添加失败,请联系我们!');


      }


  }



跟进路径inserData()->insert()->getInsertString()函数

code 区域
public function inserData($data){


       $r = $this->odb->insert($this->tblName,$data); //


       if($r)


           return $this->odb->getInsertId();


       else


           return false;


	}





跟进insert


public function insert($table, $data)


	{


		$sql = $this->getInsertString($table, $data);


		return $this->execSql($sql);


}


跟进getInsertString


public function getInsertString($table, $data)


	{


		$n_str = '';


		$v_str = '';


		$table = $this->filterString($table);


		foreach ($data as $k => $v)


		{


			$n_str .= $this->filterString($k).','; //此处进行过滤


			$v_str .= "'".$this->filterString($v)."',";


		}


		$n_str = preg_replace( "/,$/", "", $n_str );


		$v_str = preg_replace( "/,$/", "", $v_str );


		$str = 'INSERT INTO '.$table.' ('.$n_str.') VALUES('.$v_str.')';


		return $str;


	}



分析filterString()函数

code 区域
public function filterString($str)


	{


		if ($this->magic_quotes)


		{


			$str = stripslashes($str);


		}





		if ( is_numeric($str) ) {


			return $str;


		} else {


			$ret = @mysqli_real_escape_string($this->con, $str);





			if ( strlen($str) && !isset($ret) ) {


				$r = $this->checkConnection();


				if ($r !== true) {


					$this->closeDB();


					$ret = $str;


				}


			}





			return $ret;


		}



应用mysqli_real_escape_string过滤'"进行了过滤,不完整

发表文章查看数据:

1.png



2.png



分析再看一下bbs/index.php输出

code 区域
<?php foreach ($category_data as $v) {


         $archive_arr = $archive->getDataLimit('aid,cid,lid,title,username,replynum,click,addtime',"cid='{$v['cid']}' AND isstop='0' order by aid desc limit 10 ");


?>


跟进getDataLimit


public function getDataLimit($field = '*',$where = '1'){


		$sql = "SELECT {$field} FROM {$this->tblName} WHERE {$where}";//构成sql语句


        $data = $this->odb->getRows($sql);//跟进瞧了一眼没有过滤


        return $data;//输出数据


	}



漏洞证明:

3.png

修复方案:

对title输入进行过滤;

版权声明:转载请注明来源 Aring@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-09-28 15:43

厂商回复:

感谢,尽快修复

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2013-09-28 17:29 | As0n ( 路人 | Rank:4 漏洞数:3 | 我是技术宅,求交流,求基友)
    0

    不会还是bbs的那个吧

    1# 回复此人

登录后才能发表评论,请先 登录