Revive Adserver 漏洞报告 #3413764 - 用户名未规范化导致可创建视觉无法区分的账户(基于空格的冒充攻击)
版本: revive-adserver 6.0.2
摘要: Revive Adserver 允许创建包含首部或尾部空格(例如 “admin” 或 " admin")的用户名。其用户界面无法直观地区分此类用户名与正常的"admin"账户,导致出现视觉上完全相同的账户。这可以被用来冒充管理员、混淆操作人员并隐藏恶意活动。此问题主要是一个信息/用户体验漏洞,并不直接授予提升的权限,但会增加社会工程学攻击和审计/日志记录混淆的风险。
复现步骤:
- 使用拥有创建用户权限的账户登录 Revive Adserver。
- 转到 用户访问 → 添加用户。
- 创建一个包含首部或尾部空格的新用户名,例如:" admin"。
- 保存新用户。打开用户列表或任何显示用户名的界面——新账户在视觉上与真正的 admin 账户完全相同(或极难区分)。
视频验证 (PoC): ███
影响:
- 攻击者可以创建看起来与特权账户完全相同的账户,方便实施冒充和社会工程学攻击。
- 人工审查日志或用户界面时,可能会将操作错误地归因于合法的管理员账户,使事件响应复杂化。
漏洞信息更新: 安全研究员 yoyomiski 随后补充了以下评论(更新于12天前):
下方是两个都名为 admin 的账户,无法分辨哪个是真正的 admin,哪个是伪造的 admin -> 只有电子邮件不同。 █████ ███████
漏洞修复过程:
- 确认与分类:Revive Adserver 团队成员 mbeccati 将报告状态更改为 已确认 (Triaged),并确认了该问题,表示将讨论修复方案并提供补丁文件进行测试。
- 漏洞归类:研究员 yoyomiski 补充评论,认为该问题属于 不当的输入验证 范畴。
- 修复与解决:团队成员 mbeccati 将报告状态更改为 已解决 (Resolved) 并关闭了报告。提供的补丁文件
h1-3413764.patch (F4991066)通过禁止在用户名中使用空格来修复此问题,同时仍支持完整的 Unicode 字符集以满足特定用户需求。团队计划在下周发布新版本。 - 漏洞信息完善:团队成员为报告添加了弱点类型 “空格处理不当 (Improper Neutralization of Whitespace)”,更新了 CVE 引用为 CVE-2025-55127,并将 CVSS 严重性评分调整为 5.4(中危)。
- 公开披露:报告最终被公开披露。相关安全公告链接为:https://www.revive-adserver.com/security/revive-sa-2025-004/
报告详情:
| 项目 | 内容 |
|---|---|
| 报告日期 | 2025年11月6日,凌晨4:12 (UTC) |
| 报告者 | yoyomiski |
| 报告接收方 | Revive Adserver |
| 报告ID | #3413764 |
| 状态 | 已解决 |
| 严重性 | 中危 (5.4) |
| 披露日期 | 2025年11月19日,下午12:57 (UTC) |
| 弱点 | 空格处理不当 |
| CVE ID | CVE-2025-55127 |
| 赏金 | 隐藏 |