Joomla！發現核心 XSS 漏洞，附驗證過程

FortiGuard 實驗室Zhouyuan Yang近期發布報告：Joomla!未能修補我（Zhouyuan Yang）以前發現的兩個跨站點腳本(XSS) 漏洞--CVE-2017-7985 和 CVE-2017-7986。

在向Joomla 報告這個問題之後, 他們發布了一個補丁, 並在2017年的7月發布了一個單獨的安全公告。但是這個單獨的補丁還不能完全解決這個問題。之後, FortiGuard又發現了一個繞過Joomla 的新方法---在同一注入點上的 XSS，此新漏洞號為CVE-2018-11326。

就像CVE-2017-7985 和 CVE-2017-7986 一樣, 這個新的注入點存在於前端, 下面是 "張貼或編輯文章"（post or edit an article）功能。

具有post 或編輯許可權的遠程攻擊者可以將惡意代碼插入到 Joomla 中!然後在受害者瀏覽器的上下文中執行它。這樣就可以讓遠程攻擊者獲得對受害者瀏覽器的控制權, 並劫持他們的 Joomla!帳戶。

攻擊者可以瞄準更高的許可權Joomla!帳戶。成功建立的攻擊最終可能允許遠程攻擊者接管整個網站。

這個新的漏洞影響了Joomla!CMS 版本3.0.0 ——3.8.7。

在以前的Joomla!XSS補丁 解決了諸如 ":" 和 "%0d%0a" 等關鍵詞的旁路問題。但沒有解決特殊的 HTML 標籤元素。

JavaScript 不會用插入的 "" 元素來break代碼。例如, "javascript:alert(1)" 與 "javascript:alert(1)" 相同, 但它沒被Joomla! XSS補丁解決。

在這個分析中使用的PoC 使用帳戶 "yzy1", 它只有publisher許可權, 不允許使用完整的 HTML 元素。

在插入測試代碼之前, 將默認編輯器更改為 none, 以繞過 Joomla!前端 XSS 保護, 如圖1所示。

打破Joomla 的方法!XSS 篩選器是利用 HTML 選項卡元素, 例如將 "Click Me" 更改為 "Click Me"。這樣, 攻擊者就可以繞過 Joomla!XSS 過濾和插入任意 JavaScript 代碼。

插入的代碼隨後將在管理員頁面中執行, 如圖2和3所示。

POC：

「Click Me」

當Joomla！ 管理員訪問包含插入代碼的網頁，會自動使用用戶名"Fortinet Yzy"和密碼"test"創建一個新的超級用戶。

Joomla!是一套全球知名的內容管理系統，是使用PHP語言加MySQL所開發的軟體系統，目前最新版本是3.8。可以在Linux、 Windows、MacOSX等各種不同的平台上執行。自2012年以來，Joomla連續多年成為CMS評獎的冠軍。2015、2016、2017年在全球CMS評測中，它連續獲得「最佳開源CMS」獎!

包括：麥當勞、哈佛大學等眾多大型網站均使用了Joomla!阿里雲等也對其提供了支持。

因此，該漏洞影響不容小覷。

參見：

https://www.fortinet.com/blog/threat-research/incomplete-patch--another-joomla--core-xss-vulnerability-is-disc.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！