AWS漏洞披露计划:Elemental跨站脚本(XSS)漏洞分析

本文详细记录了AWS VDP项目中发现的一个反射型跨站脚本漏洞,涉及Amazon收购的Elemental服务。漏洞由安全研究员muhammad_kasim提交,最终被评定为高危级别并已修复。

AWS VDP | 报告 #3205667 - Amazon收购Elemental服务的XSS漏洞

漏洞摘要

  • 报告ID: #3205667
  • 报告时间: 2025年6月17日 20:04 UTC
  • 报告者: muhammad_kasim
  • 报告对象: AWS漏洞披露计划(AWS VDP)
  • 状态: 已解决
  • 严重等级: 高危(7.7分)
  • 漏洞类型: 反射型跨站脚本(XSS)
  • 披露时间: 2025年7月22日 00:48 UTC

时间线

  • 2025年6月17日 20:04 UTC: muhammad_kasim向AWS VDP提交报告
  • 2025年6月17日 23:13 UTC: HackerOne分析师将严重等级调整为高危
  • 2025年6月17日 23:13 UTC: 状态变更为待项目审核
  • 2025年6月18日 16:10 UTC: 报告被转移
  • 2025年7月3日 18:20 UTC: AWS VDP工作人员securecloud发表评论
  • 2025年7月22日 00:21 UTC: 报告被关闭,状态改为已解决
  • 2025年7月22日 00:48 UTC: 报告被公开披露

技术细节

该漏洞涉及Amazon收购的Elemental服务中存在反射型跨站脚本(XSS)安全漏洞。攻击者可通过构造恶意输入在受害者浏览器中执行任意JavaScript代码。

处理结果

  • 漏洞已被AWS安全团队确认并修复
  • 报告者验证漏洞已完全解决
  • 未分配CVE编号
  • 赏金金额未公开

参与人员

  • 报告者: muhammad_kasim
  • HackerOne分析团队: h1_analyst_bjorn, h1_analyst_malenia
  • AWS VDP工作人员: securecloud
  • HackerOne支持人员: h1_csm_moon
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次