MunkiReport评论模块Cross-Site Scripting (XSS)过滤器绕过漏洞
漏洞概述
CVE-2020-15885是一个影响MunkiReport软件中评论模块的跨站脚本(XSS)漏洞。该漏洞存在于4.0版本之前的评论模块中,允许远程攻击者通过发布新评论的方式注入任意的Web脚本或HTML代码。
MunkiReport是一款面向macOS的报告工具,最初依赖于Munki,但现在可以独立运行或与Munki、Jamf或其他macOS管理解决方案结合使用。
漏洞详情
漏洞描述
该漏洞属于CWE-79类漏洞:在网页生成过程中未能正确中和用户可控的输入(跨站脚本)。具体来说,MunkiReport的评论模块在4.0版本之前存在XSS过滤器绕过问题,攻击者可以通过发布评论的方式注入恶意脚本。
受影响版本
- 受影响软件:munkireport/comment(Composer包)
- 受影响版本:4.0版本之前的所有版本
- 已修复版本:4.0版本
MunkiReport整体受影响版本从2.5.3到5.6.2。
攻击场景
恶意用户(管理员、经理等角色)可以在用户的笔记本电脑上发布评论,然后等待管理员查看该评论,或者设法引诱管理员查看。一旦管理员查看评论,任意的JavaScript代码将在他们的浏览器中执行,使攻击者能够提升自己的权限或冒充受害者来执行应用程序操作。
技术指标
CVSS评分
-
CVSS 3.1基础评分:5.4(中危)
-
向量:AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
-
攻击向量:网络
-
攻击复杂度:低
-
所需权限:低
-
用户交互:需要
-
范围:已更改
-
机密性影响:低
-
完整性影响:低
-
可用性影响:无
-
EPSS评分:0.27%(第50百分位数)
CVSS 2.0评分
- 基础评分:3.5(低危)
- 向量:AV:N/AC:M/Au:S/C:N/I:P/A:N
修复与缓解措施
官方修复
MunkiReport 5.6.3版本(2020年7月22日发布)是一个安全更新版本,修复了由Datadog安全团队发现的几个问题,包括此XSS漏洞和其他SQL注入问题。在该版本中,评论模块从v3.2更新到v4.0。
缓解措施
- 首选方案:将MunkiReport更新到最新版本(5.6.3或更高版本)
- 更新评论模块到4.0或更高版本
相关资源
参考链接
支持与报告
对于安全问题,请使用私人群组:https://groups.google.com/group/munkireport-security
其他问题可在Mac Admins Slack的#munkireport频道寻求帮助:https://www.macadmins.org
时间线
- 2020年7月22日:MunkiReport 5.6.3安全版本发布
- 2020年7月23日:NVD发布CVE-2020-15885详情
- 2022年5月24日:GitHub Advisory Database发布此漏洞
- 2023年11月15日:GitHub审查此漏洞
- 2025年11月19日:最后更新
贡献者
此漏洞由以下分析师报告和审查:
- MarkLee131(分析师)
- coffeemakr(分析师)
特别感谢Datadog的Edouard Schweisguth编写安全报告并帮助解决这些问题。