缺陷允许恶意javascript嵌入在svg文件中
一种跨站脚本(XS.)在PrivateBin中,开源安全Pastebin的漏洞已被修补。
PrivateBin是一个流行Zerobin的叉子,是用于存储信息的在线工具,在浏览器中使用256位AES在浏览器中加密/解密,这意味着服务器具有“粘贴数据的零知识”。
由Ian Budd的安全公司Nethemba发现,该漏洞允许恶意JavaScript代码嵌入在SVG图像文件中,然后可以附加到浆料中。
如果用户使用专为Crafted SVG附件打开粘贴并与预览图像进行交互,而实例不会受到适当的保护内容安全策略,攻击者还可以执行代码。
“创建有效载荷并发送给其他用户是非常容易的,”Budd告诉了每日SWbeplay2018官网IG.。
“棘手的部分是用户必须在新的选项卡中打开图像预览 - 在其报告中的PrivateBin详细介绍了如何进行现实地实现的etail。
“在成功执行后,它可以允许访问在同一域上运行的其他应用程序的未受保护的cookie,本地存储数据,会话存储数据等,其中所述cookie在受害者的浏览器上存在。这可能包括身份验证令牌。“
攻击机会很低
Budd表示攻击成功的机会将相对较低,因为它明确要求用户交互,并且因为潜在的漏洞代码只能在新选项卡中运行。
“PrivateBin已经在创建内容安全策略时完成了很大的工作(CSP.)减轻了这个问题,“他说。
“当使用不尊重或遵循此CSP或默认CSP的网站已经编辑了默认CSP的站点时,发现了该漏洞。”
然而,Nethemba在其实例列表中找到了多个实例,它出现在CSP中或者它被改变为不安全的设置,两个具有启用附件的两个,因此容易受到攻击。
不过,没有报道的脆弱性积极剥削。
披露
缺陷于2月22日报告,详情发表于4月9日。
“披露很简单。我们与Simon Rupf汇集了他自己的一系列测试,并让我们了解他的调查结果,“Budd说。
“我们讨论了减轻和PrivateBin让我们了解每一步。”
PrivateBin表示它已在预览中缓解漏洞,并鼓励Server管理员升级到具有修复程序的版本,或者确保正确设置其实例的CSP。它还扩展了其目录列表工具来包括检查机制。
你可能也会喜欢Git安全漏洞提示更新