Revive Adserver | 报告 #3413764 - 缺少用户名规范化导致视觉上无法区分的账户（基于空格的冒充攻击）

时间线
ID认证 已完成ID验证检查的黑客。
yoyomiski 向 Revive Adserver 提交了一份报告。
2025年11月6日，凌晨4:12（UTC）

版本:
revive-adserver 6.0.2

摘要:
Revive Adserver 允许创建包含前导或尾随空格（例如“admin” 或 “ admin”）的用户名。用户界面（UI）无法在视觉上区分此类用户名与真正的“admin”账户，从而导致视觉上完全相同的账户。这可用于冒充管理员、混淆操作员以及隐藏恶意活动。该问题主要是一个信息/用户体验漏洞，不会直接授予提升的权限，但会增加社会工程学和审计/日志混淆的风险。

复现步骤:

1. 使用可以创建用户的账户登录 Revive Adserver。
2. 转到 用户访问 → 添加用户。
3. 创建一个包含前导或尾随空格的新用户，例如：“ admin”。
4. 保存新用户。打开用户列表或任何显示用户名的 UI —— 新账户看起来与真正的 admin 账户在视觉上相同（或极难区分）。

视频概念验证 (PoC): ███

影响

• 攻击者可以创建看起来与特权账户完全相同的账户，从而促进冒充和社会工程学攻击。
• 人工审查日志或 UI 时，可能会将操作错误地归因于合法的管理员账户，使事件响应复杂化。

yoyomiski 更新了漏洞信息。
2025年11月6日，凌晨4:13（UTC）

ID认证 已完成ID验证检查的黑客。
yoyomiski 发布了一条评论。
更新于 2025年11月19日，下午12:56（UTC）

以下是两个都名为 admin 的账户，无法分辨哪个是真正的 admin，哪个是假的 admin -> 只是电子邮件不同。 █████ ███████

mbeccati (Revive Adserver 员工) 将状态更改为 已分类 (Triaged)。
2025年11月6日，上午7:27（UTC）

感谢您的报告，问题已确认。我们将讨论如何修复，并很快给您一个用于测试的补丁文件。

ID认证 已完成ID验证检查的黑客。
yoyomiski 发布了一条评论。
2025年11月6日，上午7:34（UTC）

我认为它属于以下类别：输入验证不当

mbeccati (Revive Adserver 员工) 关闭了报告并将状态更改为 已解决 (Resolved)。
2025年11月11日，下午1:35（UTC）

附件补丁 h1-3413764.patch (F4991066) 通过禁止在用户名中使用空格来修复该问题，同时仍允许完整的 unicode 支持，以防有人使用它。

除非计划有变，我们预计下周发布新版本。

附件
1 个附件
F4991066: h1-3413764.patch

mbeccati (Revive Adserver 员工) 添加了弱点“空格处理不当”。
2025年11月19日，上午6:40（UTC）

mbeccati (Revive Adserver 员工) 将 CVE 引用更新为 CVE-2025-55127。
2025年11月19日，上午6:49（UTC）

mbeccati (Revive Adserver 员工) 将严重性从中级更新为中级 (5.4)。
2025年11月19日，上午6:57（UTC）

已更新 CVSS

mbeccati (Revive Adserver 员工) 请求披露此报告。
2025年11月19日，下午12:57（UTC）

mbeccati (Revive Adserver 员工) 披露了此报告。
2025年11月19日，下午12:57（UTC）

https://www.revive-adserver.com/security/revive-sa-2025-004/

报告于
2025年11月6日，凌晨4:12（UTC） 报告者
yoyomiski 报告给
Revive Adserver 参与者
报告 ID #3413764 状态 已解决 严重性 中级 (5.4) 披露时间 2025年11月19日，下午12:57（UTC） 弱点 空格处理不当 CVE ID CVE-2025-55127 赏金 隐藏 账户详情 无