CVE-2022-50906CVE-2022-50906是e107 CMS 3.2.1版本中的一个上传限制绕过漏洞。该漏洞允许经过身份认证的管理员通过媒体管理器上传恶意SVG文件。攻击者利用此漏洞可以上传包含嵌入式跨站脚本(XSS)负载的SVG文件,当其他用户查看这些文件时,恶意脚本将在其浏览器上下文中执行,从而实现会话劫持、敏感信息窃取等攻击目的。CVSS评分为4.8,属于中等严重程度。攻击向量为网络,攻击复杂度低,但需要高权限(管理员权限)和用户交互(UI:R)才能成功利用。机密性影响和完整性影响均为低。该漏洞由VulnCheck发现并披露,存在于e107 CMS的媒体上传功能中,攻击者可绕过现有的文件上传限制机制上传危险文件类型。
e107 CMS 3.2.1的媒体管理器在处理SVG文件上传时存在安全验证缺陷。系统虽然对常见的危险文件类型(如PHP、JSP等)进行了上传限制,但未能正确验证SVG文件的内容和结构。攻击者可以构造包含<script>标签或事件处理器(如onload、onerror等)的SVG文件,绕过服务器端的内容类型检查。当受害者通过浏览器访问这些已上传的SVG文件时,浏览器会解析SVG并执行其中的JavaScript代码。攻击者利用存储型XSS漏洞可以窃取受害者Cookie、模拟用户操作、获取敏感页面内容等。由于SVG文件通常会被存储在服务器上并长期存在,这种攻击具有持久性影响。修复方案需要在服务器端对SVG文件内容进行严格解析,禁用脚本执行,并实施内容安全策略(CSP)来防止恶意脚本运行。