Revive Adserver | 报告 #3413764 - 用户名规范化缺失允许视觉不可区分账户(基于空格的冒充攻击)
时间线
ID认证 - 已成功完成身份验证检查的黑客
yoyomiski 向 Revive Adserver 提交了一份报告
2025年11月6日 4:12 UTC
菜单 菜单
版本:
revive-adserver 6.0.2
摘要:
Revive Adserver 允许创建包含前导或尾随空格的用户名(例如 “admin” 或 “admin “)。用户界面不会在视觉上区分此类用户名与普通admin账户,产生视觉上完全相同的账户。这可用于冒充管理员、混淆操作人员并隐藏恶意活动。该问题主要是一个信息/用户体验漏洞,不会直接授予提升的权限,但会增加社会工程和审计/日志混淆的风险。
重现步骤:
- 使用可以创建用户的账户登录 Revive Adserver
- 转到 用户访问 → 添加用户
- 创建一个包含前导或尾随空格的新用户名,例如:” admin”
- 保存新用户。打开用户列表或任何显示用户名的界面 - 新账户在视觉上与admin账户完全相同(或非常难以区分)
视频概念验证: ████
影响
- 攻击者可以创建与特权账户外观相同的账户,便于冒充和社会工程攻击
- 人工审查日志或用户界面可能将操作错误归因于合法的admin账户,使事件响应复杂化
yoyomiski 更新了漏洞信息
2025年11月6日 4:13 UTC
ID认证 - 已成功完成身份验证检查的黑客
yoyomiski 发表了评论
7天前更新
菜单 菜单
以下是两个都名为admin的账户,无法分辨哪个是真正的admin,哪个是假冒的admin → 只有电子邮件不同 █████ ███████
mbeccati Revive Adserver 工作人员 将状态更改为 已分类
2025年11月6日 7:27 UTC
菜单 菜单
感谢您的报告,问题已确认。我们将讨论如何修复,并很快提供补丁文件供测试。
ID认证 - 已成功完成身份验证检查的黑客
yoyomiski 发表了评论
2025年11月6日 7:34 UTC
菜单 菜单
我认为这属于类别:不当输入验证
mbeccati Revive Adserver 工作人员 关闭了报告并将状态更改为 已解决
15天前
菜单 菜单
附加的补丁 h1-3413764.patch (F4991066) 通过禁止在用户名中使用空格来修复此问题,同时仍然允许完整的unicode支持,以防有人使用它。
除非计划有变,我们预计下周发布新版本。
附件
附件
1个附件
F4991066: h1-3413764.patch
mbeccati Revive Adserver 工作人员 添加了弱点"不当的空格中和"
7天前
mbeccati Revive Adserver 工作人员 将CVE引用更新为 CVE-2025-55127
7天前
mbeccati Revive Adserver 工作人员 将严重性从中等更新为中等(5.4)
7天前
菜单 菜单
更新了CVSS
mbeccati Revive Adserver 工作人员 请求披露此报告
7天前
mbeccati Revive Adserver 工作人员 披露了此报告
7天前
菜单 菜单
https://www.revive-adserver.com/security/revive-sa-2025-004/
报告时间
2025年11月6日 4:12 UTC
报告者
yoyomiski
报告对象
Revive Adserver
参与者
报告ID
#3413764
状态
已解决
严重性
中等(5.4)
披露时间
2025年11月19日 12:57 UTC
弱点
不当的空格中和
CVE ID
CVE-2025-55127
奖金
隐藏
账户详情
无