报告 #3413764 - 用户名规范化缺失导致视觉上难以区分的账户（基于空格的冒充）

漏洞信息

• 报告人: yoyomiski
• 报告时间: 2025年11月6日，4:12 AM UTC
• 报告对象: Revive Adserver
• 状态: 已解决
• 严重性: 中等 (CVSS 5.4)
• 相关CVE: CVE-2025-55127
• 弱点分类: 空格处理不当

摘要

Revive Adserver 允许创建包含前导或尾随空格的用户名（例如，“admin " 或 " admin”）。用户界面（UI）无法直观地区分此类用户名与正常用户名（如 “admin”），导致产生视觉上完全相同的账户。这可用于冒充管理员、迷惑操作员并隐藏恶意活动。此问题主要是一个信息/用户体验漏洞，不会直接授予提升的权限，但会增加社会工程学和审计/日志混淆的风险。

复现步骤

1. 使用具有创建用户权限的账户登录 Revive Adserver。
2. 转到 用户访问 → 添加用户。
3. 创建一个包含前导或尾随空格的新用户名，例如：" admin"。
4. 保存新用户。打开用户列表或任何显示用户名的界面——新账户在视觉上与真正的 “admin” 账户相同（或极难区分）。

影响

• 攻击者可以创建看起来与特权账户完全相同的账户，便于进行冒充和社会工程学攻击。
• 人工审查日志或用户界面时，可能会将操作错误地归因于合法的管理员账户，使事件响应复杂化。

时间线

• 2025年11月6日，4:12 AM UTC: yoyomiski 提交报告。
• 2025年11月6日，4:13 AM UTC: yoyomiski 补充信息，展示了两个都显示为 “admin” 的账户，无法通过用户名区分，只能通过电子邮件地址辨别真伪。
• 2025年11月6日，7:27 AM UTC: Revive Adserver 员工 mbeccati 确认问题并将状态更改为 已分类。
• 2025年11月6日，7:34 AM UTC: yoyomiski 评论，认为此问题属于 输入验证不当 类别。
• 2025年11月11日，1:35 PM UTC: mbeccati 关闭报告并将状态更改为 已解决。提供了补丁文件 h1-3413764.patch，通过禁止在用户名中使用空格来修复该问题，同时仍支持完整的Unicode字符集。
• 约7天前:
  • mbeccati 添加弱点分类 “空格处理不当”。
  • mbeccati 更新CVE引用为 CVE-2025-55127。
  • mbeccati 将严重性更新为中等 (5.4)。
  • mbeccati 请求并最终公开了此报告。公开链接：https://www.revive-adserver.com/security/revive-sa-2025-004/