存储型XSS存在于Banner名称字段 | 报告 #3404968 - HackerOne
版本: revive-adserver 6.0.0
摘要: 在Banner → 名称字段中存在一个存储型跨站脚本(XSS)漏洞。攻击者可以在创建或编辑广告横幅时,在名称字段中插入恶意载荷;该载荷将被存储,并在通过“用户访问”(在广告商下)被添加到该横幅的用户查看横幅时,在其浏览器中执行。这导致了在受害者会话上下文中的持久性JavaScript执行。
注意: 正如您所说,此存储型XSS不在该区域内:横幅需要完全的Javascript支持,前置/追加代码也是如此。事实上,大多数HTML横幅或跟踪脚本只是一个<script>标签。
复现步骤:
- 进入 横幅 → 创建(或编辑现有的横幅)。
- 在名称字段中,插入载荷:
"><script>alert(1)</script>。 - 保存横幅。该名称会持久保存在数据库中。
- 在“用户访问”(广告商)下,将另一用户(受害者)添加到该横幅。
- 以被添加的用户身份登录。进入 横幅 –> XSS。
影响
- 持久性XSS在通过“用户访问”(广告商)有权访问该横幅的用户的浏览器中执行。
视频PoC: ███
时间线
- 2025年10月30日 上午2:36(UTC): ID已验证的黑客
yoyomiski向 Revive Adserver 提交了报告。 - 2025年10月30日 上午8:24(UTC):
mbeccati(Revive Adserver 员工) 将状态更改为已分类。感谢您的报告。问题已确认:攻击者必须是权限级别高于受害者的用户,因此我认为影响较低。随附的 h1-3404968.diff (F4948789) 文件应可修复此问题。
- 2025年10月30日 上午8:29(UTC): ID已验证的黑客
yoyomiski发表了评论:“好的,谢谢 @mbeccati,您可以更新‘弱点’。” - 2025年11月4日 上午8:15(UTC):
mbeccati将严重性从中级更新为低(3.5)。XSS 针对子用户。
- 2025年11月4日 上午8:16(UTC):
mbeccati关闭报告并将状态更改为已解决。我们目前计划明天(11月5日,星期三)进行一次安全发布,修复多个漏洞。我们将申请CVE-ID并准备详细的安全公告。如果您尚未告知,请告诉我们您希望使用的署名。然而,由于某些漏洞的风险级别,我们将在披露细节前等待一段时间,以便尽可能多的用户在利用代码泛滥之前进行升级。希望您理解并同意该计划。
- 2025年11月4日 上午8:22(UTC): ID已验证的黑客
yoyomiski发表了评论:“好的,谢谢 @mbeccati,您可以更新‘弱点’=存储型XSS”。 - 2025年11月4日 上午8:27(UTC):
mbeccati添加了弱点“跨站脚本(XSS)- 存储型”。 - 2025年11月4日 下午6:10(UTC):
mbeccati将CVE参考更新为 CVE-2025-55123。 - 2025年11月19日 上午9:36(UTC):
mbeccati请求披露此报告。 - 2025年11月19日 上午9:36(UTC):
mbeccati披露了此报告。
报告详情
- 报告时间: 2025年10月30日,上午2:36(UTC)
- 报告人: yoyomiski
- 报告对象: Revive Adserver
- 报告ID: #3404968
- 状态: 已解决
- 严重性: 低(3.5)
- 披露时间: 2025年11月19日,上午9:36(UTC)
- 弱点: 跨站脚本(XSS)- 存储型
- CVE ID: CVE-2025-55123
- 赏金: 隐藏
- 账户详情: 无