Revive Adserver 漏洞报告 #3413764 - 用户名字段缺失规范化导致视觉上无法区分的账户(基于空白符的冒充)
报告ID: #3413764
提交者: yoyomiski 提交时间: 2025年11月6日 04:12 UTC 报告对象: Revive Adserver
版本: revive-adserver 6.0.2
摘要
Revive Adserver 允许创建包含前导或尾随空白符的用户名(例如“admin”或“ admin”)。用户界面(UI)在视觉上无法区分此类用户名与“admin”账户,导致产生视觉上完全相同的账户。这可用于冒充管理员、混淆操作人员以及隐藏恶意活动。该问题主要是一个信息/用户体验漏洞,不直接授予提升的权限,但会增加社交工程和审计/日志混淆的风险。
漏洞复现步骤
- 使用一个可以创建用户的账户登录 Revive Adserver。
- 转到“用户访问”→“添加用户”。
- 创建一个用户名包含前导或尾随空格的新用户,例如:“ admin”。
- 保存新用户。打开用户列表或任何显示用户名的界面——新账户在视觉上(或非常难以区分)与管理员“admin”账户完全相同。
视频PoC: ███
影响
- 攻击者可以创建看起来与特权账户完全相同的账户,便于进行冒充和社交工程攻击。
- 人工审查日志或界面时,可能会将操作错误地归因于合法的管理员账户,使事件响应复杂化。
时间线与进展
2025年11月6日 04:13 UTC: 报告者 yoyomiski 更新了漏洞信息,并发布了评论:
以下是两个都名为“admin”的账户,无法分辨哪个是真正的管理员,哪个是假的 -> 只有电子邮件不同。 █████ ███████
2025年11月6日 07:27 UTC: Revive Adserver 团队成员 mbeccati 将状态更改为“已分类”并评论:
感谢您的报告,问题已确认。我们将讨论如何修复,并很快提供补丁文件供您测试。
2025年11月6日 07:34 UTC: yoyomiski 发表评论:
我认为这属于“输入验证不当”的范畴。
2025年11月11日 13:35 UTC: mbeccati 将报告状态更改为“已解决”并关闭报告,同时评论:
随附的补丁文件
h1-3413764.patch (F4991066)通过禁止用户名中使用空白符来修复此问题,同时仍然允许完整的Unicode支持(以防有人正在使用它)。 除非计划有变,我们预计下周发布新版本。 附件:
- F4991066: h1-3413764.patch
后续更新(约13天前):
- mbeccati 添加了弱点分类:“空白符不当中和”。
- mbeccati 更新了CVE引用为 CVE-2025-55127。
- mbeccati 将严重性从“中危”更新为“中危 (5.4)”,并注释“更新了CVSS”。
- mbeccati 请求并最终披露了此报告。公开链接:
https://www.revive-adserver.com/security/revive-sa-2025-004/
报告详情
| 项目 | 内容 |
|---|---|
| 报告ID | #3413764 |
| 状态 | 已解决 |
| 严重性 | 中危 (5.4) |
| 披露时间 | 2025年11月19日 12:57 UTC |
| 弱点 | 空白符不当中和 |
| CVE ID | CVE-2025-55127 |
| 赏金 | 隐藏 |
| 账户详情 | 无 |