CVE-2022-50905 e107 CMS 反射型XSS与存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50905

漏洞类型

XSS（跨站脚本攻击）

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

e107 CMS

漏洞概述

CVE-2022-50905是e107 CMS 3.2.1版本中存在的高危安全漏洞，CVSS评分高达9.8，属于严重级别。该漏洞包含两个独立的跨站脚本攻击（XSS）问题。第一个是反射型XSS漏洞，存在于新闻评论功能中，当已认证用户与评论表单交互时，攻击者可以通过URL参数注入恶意JavaScript代码，当用户点击评论字段外部时执行。第二个是存储型XSS漏洞，涉及SVG文件上传限制绕过问题，已认证的管理员可以通过媒体管理器的远程URL上传功能上传包含恶意代码的SVG文件，导致存储型XSS漏洞。该漏洞由Hubert Wojciechowski发现并报告，影响e107 CMS的news.php和image.php组件。攻击者利用这些漏洞可以窃取用户会话Cookie、劫持用户账户、执行恶意操作或进行钓鱼攻击，对网站和用户安全构成严重威胁。

技术细节

e107 CMS 3.2.1版本中的第一个漏洞是反射型XSS，出现在news.php组件的新闻评论功能中。漏洞的根本原因在于应用程序未对用户输入进行充分的过滤和转义。当用户访问包含恶意脚本的URL参数时，反射的输入会被直接嵌入到页面响应中而不进行安全处理。攻击者构造特定的URL链接，诱导已认证用户点击后，恶意JavaScript代码会在用户浏览器中执行。第二个漏洞是SVG文件上传导致的存储型XSS，出现在image.php组件的媒体管理器功能中。系统对文件上传的MIME类型检查存在缺陷，允许管理员通过远程URL上传功能上传包含恶意SVG代码的文件。SVG格式支持JavaScript事件处理器（如onload），攻击者可以在SVG文件中嵌入<script>标签或事件处理器，当其他用户访问这些SVG文件时，恶意代码会自动执行。攻击者可以利用这些漏洞窃取用户的认证令牌、操纵网页内容或进行进一步的攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的e107 CMS版本确认为3.2.1

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的URL参数，利用新闻评论功能的反射型XSS漏洞

STEP 3

步骤3

攻击者通过钓鱼邮件或社交工程手段诱导已认证用户点击恶意链接

STEP 4

步骤4

用户点击链接并与评论表单交互后，恶意JavaScript在用户浏览器中执行

STEP 5

步骤5

对于存储型XSS，攻击者以管理员身份上传包含恶意代码的SVG文件

STEP 6

步骤6

其他用户访问该SVG文件时，存储的恶意代码自动执行，导致会话劫持或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2022-50905 PoC - Reflected XSS in e107 CMS news comment
// URL-based XSS payload for news comment functionality

const pocUrl = 'http://target.com/e107_news.php?id=1&comment=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E';

// For SVG Stored XSS PoC
const svgPayload = `<?xml version="1.0"?>
<svg xmlns="http://www.w3.org/2000/svg">
  <script>alert(document.cookie)</script>
</svg>`;

// Steps to exploit:
// 1. Attacker crafts malicious URL with XSS payload in comment parameter
// 2. Lures authenticated user to click the link
// 3. When user interacts with comment field and clicks outside, JS executes
// 4. For stored XSS: Upload SVG via media manager's remote URL upload
// 5. Any user accessing the uploaded SVG triggers the payload

影响范围

e107 CMS < 3.2.1

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）禁用或限制新闻评论功能；2）禁止通过媒体管理器上传SVG文件；3）对所有用户输入实施严格的过滤和转义；4）配置Web应用防火墙（WAF）规则检测和阻止XSS攻击向量；5）限制管理员权限，监控异常上传行为；6）启用HttpOnly和Secure标志保护Cookie安全。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2022-50905
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2022-50905
3 Details https://www.cvedetails.com/cve/CVE-2022-50905/
4 VulDB https://vuldb.com/cve/CVE-2022-50905
5 Link https://e107.org/
6 Link https://e107.org/download
7 Link https://www.exploit-db.com/exploits/50910
8 Link https://www.vulncheck.com/advisories/e-cms-reflected-xss-via-comment-flow
9 Link https://www.exploit-db.com/exploits/50910