CVE-2021-47733 CMSimple 5.4 XSS漏洞通过HTML Unicode编码绕过过滤

漏洞信息

漏洞编号

CVE-2021-47733

漏洞类型

XSS跨站脚本攻击

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

CMSimple 5.4

漏洞概述

CVE-2021-47733是CMSimple 5.4版本中的一个中等严重性跨站脚本（XSS）漏洞。该漏洞存在于CMSimple的内容管理系统中，攻击者可以通过利用HTML到Unicode编码的方式绕过现有的输入过滤机制。具体而言，攻击者能够注入恶意脚本代码，当受害者与页面上的删除按钮进行交互时，这些恶意脚本将被执行，从而实现任意JavaScript代码的运行。此漏洞的CVSS评分为6.1，属于中等严重级别，对系统的机密性和完整性造成一定的低影响。由于该漏洞不需要认证即可利用，但需要用户交互，因此攻击者需要诱导用户执行特定操作才能成功触发恶意代码。CMSimple是一款轻量级的开源内容管理系统，广泛应用于小型网站和个人博客，因此该漏洞可能影响大量使用该系统的网站。攻击者利用此漏洞可以窃取用户的会话Cookie、劫持用户会话、进行钓鱼攻击或植入恶意广告等，对网站和用户安全构成威胁。

技术细节

该漏洞的核心问题在于CMSimple 5.4的输入过滤机制未能正确处理HTML到Unicode编码的字符序列。攻击者可以利用HTML实体编码（如&#xXX或&#XXX格式）来构造恶意Payload，从而绕过常规的XSS过滤器。典型的攻击Payload为')-alert(1)//，攻击者将其转换为HTML Unicode编码形式后提交到系统。当系统将用户输入回显到网页时，浏览器会将其解析为可执行的JavaScript代码。具体利用过程如下：攻击者首先构造包含编码后恶意脚本的请求，将其注入到CMSimple的内容编辑功能中。系统在接受输入时，由于过滤机制无法识别编码后的恶意内容，因此允许该输入存储到数据库中。当其他用户访问包含恶意内容的页面并触发删除按钮时，浏览器会解析并执行注入的JavaScript代码。由于该漏洞属于存储型XSS，恶意脚本会被永久保存在服务器端，影响所有访问该页面的用户。防御此类漏洞需要采用多层次的输入验证策略，包括在服务端和客户端同时进行严格的输入过滤和输出编码。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站使用CMSimple 5.4内容管理系统，并确定存在用户可输入内容的页面功能，如页面编辑、评论或留言板等。

STEP 2

步骤2：构造恶意Payload

攻击者构造XSS Payload，使用HTML Unicode编码方式将恶意脚本（如')-alert(1)//）转换为')-alert(1)//格式，以绕过系统的输入过滤检测。

STEP 3

步骤3：注入恶意代码

攻击者通过表单提交或API接口将编码后的恶意Payload注入到CMSimple系统中。由于过滤机制无法识别编码后的恶意内容，输入被成功存储到数据库中。

STEP 4

步骤4：等待受害者访问

恶意代码以存储型XSS的形式保存在服务器端，当其他用户访问包含恶意内容的页面时，浏览器会下载并解析页面内容。

STEP 5

步骤5：触发漏洞

当受害者在页面上与删除按钮等交互元素进行操作时，浏览器会解析并执行注入的JavaScript代码，实现恶意脚本的运行。

STEP 6

步骤6：窃取敏感信息

恶意脚本执行后，攻击者可以获取受害者的Cookie、会话令牌等敏感信息，进而劫持用户账户或进行进一步的攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2021-47733 PoC - XSS via HTML Unicode Encoding in CMSimple 5.4 -->
<!-- Inject this payload into any user-input field (e.g., page content, comments) -->
<script>
// Encoded XSS Payload: ')-alert(1)//
// HTML Unicode encoded form
const encodedPayload = '&#39;)-alert(1)//';

// Alternative direct payload (may be filtered)
const directPayload = "')-alert(1)//";

// Simulate form submission to inject XSS
async function exploitXSS(targetUrl) {
    const formData = new FormData();
    formData.append('content', encodedPayload);
    
    try {
        const response = await fetch(targetUrl, {
            method: 'POST',
            body: formData,
            credentials: 'include'
        });
        console.log('XSS payload injected successfully');
    } catch (error) {
        console.error('Exploitation failed:', error);
    }
}

// When victim interacts with delete button, the XSS will be triggered
// The encoded payload will be decoded by browser and executed as: ')-alert(1)//
</script>

<!-- Simple HTML PoC for manual testing -->
<!-- Submit this value in any CMSimple input field: -->
<!-- &#39;)-alert(document.cookie)// -->

影响范围

CMSimple 5.4

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 禁用或限制用户输入功能的权限，仅允许受信任的管理员发布内容；2) 在Web服务器层面配置输入过滤规则，拒绝包含HTML实体编码特征的请求；3) 启用浏览器的XSS过滤器功能；4) 定期检查服务器日志，监控异常的输入模式；5) 对所有用户输入实施严格的类型检查和长度限制；6) 考虑临时切换到其他安全的CMS系统替代方案。