Revive Adserver 漏洞报告 #3404968 - 横幅名称字段中的存储型XSS

版本： revive-adserver 6.0.0

摘要： 在“横幅 → 名称”字段中存在一个存储型跨站脚本（XSS）漏洞。攻击者可以在创建或编辑横幅时，在名称字段中插入恶意载荷；该载荷会被存储，并在后续通过用户访问（在广告主下）被添加到该横幅的用户查看横幅时，在其浏览器中执行。这会导致在受害者会话上下文中持久执行JavaScript。

注意： 如您所说，此存储型XSS不在该区域范围内：横幅需要完整的JavaScript支持，前置/附加代码也是如此。实际上，大多数HTML横幅或跟踪脚本只是一个<script>标签。

复现步骤：

进入“横幅 → 创建”（或编辑现有横幅）。
在“名称”字段中，插入载荷："><script>alert(1)</script>
保存横幅。该名称将持久保存在数据库中。
通过“用户访问”（广告主）将另一个用户（受害者）添加到该横幅。
以该添加的用户身份登录。进入“横幅”页面 –> XSS。

影响持久性XSS在通过“用户访问”（广告主）拥有横幅访问权限的用户的浏览器中执行。

视频概念验证： ███

时间线：

2025年10月30日，上午2:36（UTC）： yoyomiski 向 Revive Adserver 提交报告。
2025年10月30日，上午8:24（UTC）： mbeccati (Revive Adserver 员工) 将状态更改为 已分类。
- 评论： “感谢您的报告。问题已确认：攻击者必须是权限级别高于受害者的用户，因此我认为影响程度较低。附件的 h1-3404968.diff (F4948789) 文件应该可以修复此问题。”
2025年10月30日，上午8:29（UTC）： yoyomiski 发表评论：“好的，谢谢 @mbeccati，您可以更新‘弱点’信息。”
2025年11月4日，上午8:15（UTC）： mbeccati (Revive Adserver 员工) 将严重性从中等更新为 低 (3.5)。
- 评论： “XSS 影响子用户。”
2025年11月4日，上午8:16（UTC）： mbeccati (Revive Adserver 员工) 关闭报告并将状态更改为 已解决。
- 评论： “我们目前正计划于明天（11月5日，星期三）进行一次安全发布，修复多个漏洞。我们将申请 CVE-ID 并准备详细的安全公告。如果您尚未告知，请告诉我们您希望被列示的姓名。然而，由于某些漏洞的风险级别，我们将在披露详细信息之前等待一段时间，以便尽可能多的用户能在漏洞利用代码在野出现之前进行升级。希望您理解并同意此提议的计划。”
2025年11月4日，上午8:22（UTC）： yoyomiski 发表评论：“好的，谢谢 @mbeccati，您可以更新‘弱点’ = 存储型XSS”。
2025年11月4日，上午8:27（UTC）： mbeccati (Revive Adserver 员工) 添加弱点：“跨站脚本 (XSS) - 存储型”。
2025年11月4日，下午6:10（UTC）： mbeccati (Revive Adserver 员工) 将 CVE 引用更新为 CVE-2025-55123。
13天前： mbeccati (Revive Adserver 员工) 请求披露此报告。
13天前： mbeccati (Revive Adserver 员工) 披露了此报告。

报告详情：

报告日期： 2025年10月30日，上午2:36（UTC）
报告者： yoyomiski
报告对象： Revive Adserver
报告ID： #3404968
状态： 已解决
严重性： 低 (3.5)
披露日期： 2025年11月19日，上午9:36（UTC）
弱点： 跨站脚本 (XSS) - 存储型
CVE ID： CVE-2025-55123
赏金： 隐藏
账户详情： 无