Revive Adserver | 报告 #3411750 - Banners 模态框中展示的广告活动名称存在存储型XSS漏洞
时间线
- vidang04 向 Revive Adserver 提交了一份报告。
- 2025年11月5日,上午9:32 (UTC)
- 描述: 一个低权限的认证用户可以创建或编辑包含 HTML/JavaScript 的广告主/广告活动名称。这些值存储在应用程序中,随后在管理后台的“库存 → Banners”广告主/广告活动选择器中被渲染时未进行适当的 HTML 转义。当管理员打开此选择器时,存储的脚本将在管理员浏览器中执行,可能导致账户接管、未经授权的管理操作或敏感数据泄露。 由于任何认证的普通用户都可以存储有效负载,因此攻击向量是远程的,对拥有有效账户的攻击者而言是轻而易举的。
- 步骤:
我注入了一段 XSS 脚本代码。
- 结果:
- 影响:
远程认证攻击者(普通用户)植入的 JavaScript 会在管理员浏览器中执行。
可能的后果(取决于环境和 Cookie 设置):
- 管理员会话窃取(如果 Cookie 可访问)。
- 利用管理员会话执行静默的管理操作(创建/修改/删除资源)。
- 泄露管理员可访问的敏感 UI 数据。
- 作为进一步入侵基础设施或数据外泄的跳板。 由于攻击者只需要一个普通账户即可持久化有效负载,此漏洞可利用性很高,应优先处理。
- 附件: F4968699: image.png F4968700: image.png
- 2025年11月5日,上午9:32 (UTC)
- mbeccati (Revive Adserver 工作人员) 将状态更改为 需要更多信息。
- 2025年11月5日,下午1:26 (UTC)
- 感谢您的报告。但是,我无法复现该问题:
- 附件: F4969526: immagine.png
- 感谢您的报告。但是,我无法复现该问题:
- 2025年11月5日,下午1:26 (UTC)
- vidang04 将状态更改为 新报告。
- 2025年11月5日,下午3:03 (UTC)
- 我提供一个视频来证明 XSS。我使用的是 Revive Adserver 版本 6.0.1。
- 2025年11月5日,下午3:03 (UTC)
- mbeccati (Revive Adserver 工作人员) 将状态更改为 需要更多信息。
- 2025年11月5日,下午3:11 (UTC)
- 我们刚刚在几秒钟前发布了 6.0.2 版本。 请您用新版本重新测试,如果问题仍然存在,请发送 clients、campaigns 和 banners 表的数据库转储文件好吗?
- 2025年11月5日,下午3:11 (UTC)
- vidang04 将状态更改为 新报告。
- 更新于 9 天前
- 这是版本 6.0.2
- 更新于 9 天前
- vidang04 发表了一条评论。
- 2025年11月5日,下午3:51 (UTC)
- 这是网页上的信息。
- 附件: F4970074: image.png
- 这是网页上的信息。
- 2025年11月5日,下午3:51 (UTC)
- erikgeurts (Revive Adserver 工作人员) 发表了一条评论。
- 2025年11月5日,下午3:56 (UTC)
- 请按请求发送 clients、campaigns 和 banners 表的数据库转储文件。
- 2025年11月5日,下午3:56 (UTC)
- vidang04 发表了一条评论。
- 更新于 9 天前
- 这是 clients 表的数据。 (数据已编辑)
- 这是 campaigns 表的数据: (数据已编辑)
- 这是 banners 表的数据: (数据已编辑)
- 更新于 9 天前
- mbeccati (Revive Adserver 工作人员) 发表了一条评论。
- 2025年11月5日,下午4:08 (UTC)
- 可以请您将它们作为 SQL 文件提供吗?谢谢:
mysqldump -p revive_db --tables rv_clients rv_campaigns rv_banners
- 可以请您将它们作为 SQL 文件提供吗?谢谢:
- 2025年11月5日,下午4:08 (UTC)
- vidang04 发表了一条评论。
- 更新于 9 天前
- 这是您要的文件。 (数据已编辑)
- 更新于 9 天前
- mbeccati (Revive Adserver 工作人员) 将状态更改为 已分类。
- 2025年11月5日,下午5:04 (UTC)
- 非常感谢。我已经能够复现这个问题了。 在接下来的几天里,我会尝试更好地理解为什么没有您的 SQL 转储文件我就无法复现,并会发送一个补丁文件给您进行修复验证。 我们将随时告知您发布修复程序的时间安排等信息。
- 2025年11月5日,下午5:04 (UTC)
- vidang04 发表了一条评论。
- 2025年11月6日,凌晨2:03 (UTC)
- 好的,非常感谢!!!
- 2025年11月6日,凌晨2:03 (UTC)
- mbeccati (Revive Adserver 工作人员) 关闭了报告并将状态更改为 已解决。
- 更新于 2025年11月11日,下午1:07 (UTC)
- 好的,我明白了。只有当广告活动属于不同的广告主时,漏洞利用载荷才会被触发,即:切换广告主会触发动态加载,然后内容在不转义的情况下被显示并执行。 附件的补丁文件 h1-3411750.patch (F4990909) 应该可以修复此问题。
- 附件: F4990909: h1-3411750.patch
- 更新于 2025年11月11日,下午1:07 (UTC)
- mbeccati (Revive Adserver 工作人员) 更新了 CVE 参考编号为 CVE-2025-55126。
- 9 天前
- mbeccati (Revive Adserver 工作人员) 请求公开此报告。
- 9 天前
- mbeccati (Revive Adserver 工作人员) 公开了此报告。
报告信息
- 报告于: 2025年11月5日,上午9:32 (UTC)
- 报告者: vidang04
- 报告给: Revive Adserver
- 参与者: (报告详情中列出)
- 报告 ID: #3411750
- 状态: 已解决
- 严重性: 中 (6.5)
- 公开日期: 2025年11月19日,下午12:56 (UTC)
- 弱点: 跨站脚本 (XSS) - 存储型
- CVE ID: CVE-2025-55126
- 奖金: 无
- 账户详情: 无