开源工具 PrivateBin 修复XSS 漏洞

admin 2022年4月20日07:35:10安全漏洞评论11 views1325字阅读4分25秒阅读模式

开源工具 PrivateBin 修复XSS 漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


开源工具 PrivateBin 修复XSS 漏洞
PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器“不知晓所粘贴数据”。这款开源工具中存在一个跨站点脚本 (XSS) 漏洞。
开源工具 PrivateBin 修复XSS 漏洞


Nethemba 公司的安全研究员Ian Budd 发现该XSS 漏洞可导致恶意 JavaScript 代码嵌入 SVG 镜像文件中,之后被附加到粘贴中。

如果用户通过特殊构造的 SVG 附件打开粘贴并和预览镜像交互,而该实例未受到正确的内容安全策略保护,则攻击者可执行代码。Budd 指出,“创建payload 并发送给其它用户很容易。但问题是用户将不得不在新的页签中打开该镜像预览,成功执行后,将导致用户可访问运行在用一个域上其它应用的不受保护的 cookie、本地存储数据、会话存储数据等,其中可能包括认证令牌。”


开源工具 PrivateBin 修复XSS 漏洞
攻击概率低


Budd 表示,攻击成功的概率相对较低,因为它明确要求进行用户交互,且潜在利用代码仅可在新页签中运行。他表示,“PrivateBin 在创建内容安全策略方面做得很好,从而缓解了该漏洞。如果用户使用的浏览器不遵守该内容安全策略或编辑默认内容安全策略的站点,则会触发该漏洞。”

然而,Nethemba 在实例列表中发现,多个实例或者不遵守内容安全策略或者更改至不安全的设置,其中两个实例启用了附件,因此易受攻击。尽管如此,目前尚未发现该漏洞遭活跃利用的报告。


开源工具 PrivateBin 修复XSS 漏洞
漏洞披露


2月22日,研究员上报该缺陷;4月9日,漏洞详情公开。

Budd 指出,“漏洞披露过程很简单,我们和运行系列测试的 Simon Rupf 进行沟通,并了解了他的研究成果。我们讨论了缓解措施,PrivateBin 让我们了解了每一个步骤。”

PrivateBin 指出,已经修复预览中的这个漏洞,并鼓励服务器管理员升级至已修复版本,或确保实例的内容安全策略设置正确。同时它还扩展了目录清单工具,纳入检查机制。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

开源网站内容管理系统Micorweber存在XSS漏洞

速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用
开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞

热门开源 WYSIWYG 编辑器 TinyMCE 被指存在严重的 XSS 漏洞

开源 CMS Drupal 修复 XSS 和开放重定向漏洞




原文链接

https://portswigger.net/daily-swig/xss-vulnerability-in-open-source-tool-privatebin-patched


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




开源工具 PrivateBin 修复XSS 漏洞
开源工具 PrivateBin 修复XSS 漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   开源工具 PrivateBin 修复XSS 漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):开源工具 PrivateBin 修复XSS 漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日07:35:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  开源工具 PrivateBin 修复XSS 漏洞 http://cn-sec.com/archives/927961.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: