Vvveb 1.0.8 XSS 转管理员后门账户创建漏洞总结 漏洞概述 该漏洞存在于 Vvveb 1.0.8 版本中。具有 和 权限的用户,可以上传包含恶意 HTML 内容的 GIF 文件,随后将其重命名为 并运行恶意 JavaScript 代码。这会导致创建一个具有完全管理员权限的后门账户。管理员上传包含恶意 PHP 代码的插件可导致远程代码执行 (RCE)。 CVSS v3.1 评分: 9.0 (Critical) 攻击链: 1. 低权限用户 (Vendor) 上传 GIF polyglot (绕过 MIME 检查)。 2. 重命名为 (无扩展名限制)。 3. 管理员点击链接 (Stored XSS 触发)。 4. 后门管理员账户静默创建。 5. 攻击者以管理员身份登录。 6. 上传恶意 PHP 插件。 7. 远程代码执行。 影响范围 受影响版本: Vvveb 1.0.8 权限要求: 低 (仅需受限的 vendor 账户) 攻击向量: 网络 (通过 Web 管理面板远程利用) 用户交互: 需要 (管理员必须点击恶意链接) CWE 分类: CWE-434: 不受限制的危险类型文件上传 CWE-79: 存储型跨站脚本 (XSS) CWE-183: 允许输入的不当列表 CWE-94: 代码生成不当 (通过插件 RCE) 修复方案 (Mitigations) 1. 使用允许列表 (Allow List): 仅允许 等扩展名,并在上传和重命名时均强制执行。 2. 应用 MIME 验证: 在重命名路径中也添加 检查,确保目标文件的安全。 3. 验证文件内容: 检查文件内容是否与扩展名匹配,拒绝包含 的 或包含 的 。 4. 限制重命名端点: 禁止更改扩展名,或应用完整的上传验证管道。 5. 设置限制性响应头: 对用户上传的文件设置 和 。 6. Nginx 加固: 在媒体目录配置中添加 等指令以防止 HTML 渲染。 利用代码 (Exploit PoC) 1. 账户权限配置截图 (需创建具有 和 权限的账户) 2. 自动化利用脚本 ( ) 3. 执行命令 4. 执行输出示例 利用方式**: 将生成的 XSS 载荷链接发送给管理员,即可创建后门账户。