Revive Adserver | 报告 #3399809 - inventory-retrieve.php上的存储型XSS
报告概述
报告ID: #3399809 报告标题: Stored XSS on inventory-retrieve.php 报告者: lu3ky-13 报告时间: 2025年10月25日 21:24 UTC 报告状态: 已解决 严重级别: 低 (3.5) CVE ID: CVE-2025-52667 弱点类型: 存储型跨站脚本攻击 (XSS)
漏洞详情
漏洞描述
报告者在Revive Adserver的 inventory-retrieve.php 和 campaign-edit.php 脚本中发现了存储型跨站脚本(XSS)漏洞。
复现步骤
- 导航至 Inventory(库存) -> Campaign(广告活动)。
- 在 “Name”(名称)字段中添加恶意载荷。例如:
><img src=x onerror=alert(document.domain)>。 - 访问以下URL:
http://localhost/ddf/revive-adserver-6.0.1/www/admin/inventory-retrieve.php?clientid=1 - 触发弹窗警告。
附图:
- F4932943: image.png (48.54 KiB) - 展示了在名称字段添加载荷的界面。
- F4932944: image.png (29.83 KiB) - 展示了访问漏洞URL后触发弹窗的界面。
影响
存储型XSS漏洞存在于 inventory-retrieve.php 和 campaign-edit.php,允许攻击者在拥有有效账户权限的前提下注入并存储恶意脚本,当其他用户(如管理员)访问特定页面时,脚本将被执行。
时间线与处理过程
- 2025年10月25日 21:24 UTC: 报告由 lu3ky-13 提交。
- 2025年10月25日 21:25 UTC: lu3ky-13 将严重性从 “none” 更新为 “medium (6.5)"。
- 2025年10月26日 09:13 UTC: Revive Adserver 团队成员 mbeccati 将状态更改为 “Triaged”(已分类处理)。
- 2025年10月26日 10:41 UTC: mbeccati 确认漏洞,并解释了漏洞成因:
inventory-retrieve.php脚本输出了JSON数据,但未相应地设置Content-type头部,导致浏览器将输出解析为HTML并执行其中包含的任何脚本。- 附件: F4933981: h1-3399809.patch - 提供了修复该漏洞的补丁文件。
- 2025年10月26日 11:32 UTC: mbeccati 将严重性从 “medium (6.5)” 下调至 “low (3.5)",原因在于此XSS攻击需要有效账户来存储载荷,并且需要用户交互才能触发执行载荷。
- 2025年10月28日 11:03 UTC: mbeccati 将报告状态关闭并标记为 “Resolved”(已解决)。同时说明,计划在下周三(11月5日)进行一次安全发布,修复包括此漏洞在内的多个安全问题,届时将申请CVE编号并发布详细的安全公告。
- 2025年10月28日 11:57 UTC: lu3ky-13 提供了希望被署名的信息:
Ahmed Abdalkhaliq Abdulla (Lu3ky.13),并附上了GitHub链接。 - 2025年10月31日 14:27 UTC: mbeccati 将报告标题从 “Cross-site Scripting (XSS) - Stored on inventory-retrieve.php and campaign-edit.php” 修改为 “Stored XSS on inventory-retrieve.php”。
- 2025年11月2日 10:12 UTC: lu3ky-13 询问CVE更新情况。
- 2025年11月3日 09:20 UTC: Revive Adserver 团队成员 erikgeurts 重申了安全发布和CVE申请计划。
- 2025年11月4日 08:22 UTC: mbeccati 更新了CVE参考编号为 CVE-2025-52667。
- 2025年11月10日 22:22 UTC: lu3ky-13 请求公开披露此报告。
- 12天前 (基于报告最后更新时间): mbeccati 同意公开披露,报告随即被公开。
披露信息
- 披露时间: 2025年11月19日 09:33 UTC
- 赏金: 隐藏
- 账户详情: 无