移动安全框架 (MobSF) 存在存储型XSS漏洞 | CVE-2024-53999

黑白之道 2024-12-07 02:24

1►

漏洞描述

Mobsf允许用户上传带有 filename 参数的脚本文件。因此，恶意用户可以将脚本文件上传到系统。当应用程序中的用户使用“上传&分析”功能时，他们会受到存储型XSS的攻击。

2►

漏洞细节

在“上传&分析”功能中存在存储型XSS。出现此问题的原因是上传功能允许用户上传文件名中含有特殊字符（例如 <、>、/ 和 “）的文件。可以通过将文件上传限制为仅包含白名单字符（例如 AZ、0-9）和业务要求允许的特定特殊字符（例如 – 或 _ ）的文件名来缓解此漏洞。

1、在 MobSF 4.2.8 版本上，我点击了“上传&分析”按钮

2、以 zip 文件作为名称上传test.zip。

3、上传文件时使用了Burp将 filename 参数的值从改为test.zip。test.zip这意味着我上传了一个文件并将其名称设置为脚本值。结果，服务器允许文件成功上传。

4、访问 /recent_scans/ 并找到了一个名为test.zip“最近扫描”的文件。然后，我点击了“
差异或比较”按钮。”

5、我发现应用程序需要选择一个文件进行比较，我选择了该文件test.zip

6、
我发现 filename 值中的 JavaScript 已在 Web 浏览器中执行。

3►

漏洞危害

攻击者可以利用此漏洞来：
1. 窃取敏感信息，包括会话令牌和 cookie

1. 代表受害者进行未经授权的行动

2. 破坏应用程序界面

3. 可能与其他漏洞串联起来进一步利用

该漏洞的 CVSS 基本评分为 8.1，表明严重程度较高。该
漏洞
影响 MobSF 的所有版本，最高版本为 4.2.8。

强烈建议用户更新至 4.2.9 版本，其中包含针对此安全问题的补丁。

文章来源：李白你好

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END