Budibase存储型XSS漏洞：BASIC用户通过Markdown绕过CSP

漏洞概述 标题: Stored XSS in Text component: BASIC users execute JS in admin session via MarkdownViewer innerHTML + CDN=srcdoc CSP bypass 描述: 软件: Budibase/budibase 受影响版本: <3.39.0 修复版本: None 严重性: 8.1 / 10 摘要: Budibase 的 Text 组件通过 直接渲染 Markdown 到 ，没有使用任何 sanitizer。任何具有 WRITE 权限的 BASIC 用户都可以在表格上创建包含恶意 HTML 的 Markdown 内容，从而在管理员会话中执行 JavaScript。 细节: Sink: Attacker model: - Alice: 账户所有者/全局管理员 - Bob: BASIC 用户，具有 WRITE 权限 - Alice 的应用程序有一个带有长文本列的表格，Bob 可以提交恶意 Markdown 内容 Variant A: Cloud, strict CSP (verified on lwnyub5k.budibase.app) CloudFront 分发服务 Budibase 的静态 JS，CSP 允许 Bob 上传一个 文件，通过 CloudFront 分发，CSP 允许该源 Bob 提交一个包含 的 Markdown 内容，触发 XSS Variant B: self-hosted, same-origin attachment (verified on Budibase 3.35.8) 自托管实例中，附件通过 Nginx 提供，CSP 允许 Bob 上传一个 文件，通过 Nginx 提供，CSP 允许该源 Bob 提交一个包含 的 Markdown 内容，触发 XSS Proof of Concept: Shared app setup (Alice, the admin): 1. 创建一个应用，添加一个名为 的表格，包含 （长文本）列 2. 在表格的 Roles 表上，授予 BASIC 用户 READ + WRITE 权限 3. 在屏幕上，添加一个 Data Provider 绑定到 ，一个 Repeater 绑定到 Data Provider，一个 Text 组件绑定到 Repeater 的 字段，格式为 Markdown 4. 发布应用 5. 添加用户，邀请 Bob 作为 BASIC 用户 Variant A: Budibase Cloud (live, lwnyub5k.budibase.app): Bob 上传一个 文件，通过 CloudFront 分发，CSP 允许该源 Bob 提交一个包含 的 Markdown 内容，触发 XSS Variant B: self-hosted 3.35.8: Bob 上传一个 文件，通过 Nginx 提供，CSP 允许该源 Bob 提交一个包含 的 Markdown 内容，触发 XSS 影响范围 Self-hosted: 任何具有 WRITE 权限的 BASIC 用户可以在任何表格上上传 HTML 文件，并通过 Markdown 组件触发 XSS Cloud: 附件通过 CloudFront 分发，CSP 允许该源，任何具有 WRITE 权限的 BASIC 用户可以在任何表格上上传 HTML 文件，并通过 Markdown 组件触发 XSS 修复方案 1. Sanitize the markdown output before : 使用 DOMPurify 对 Markdown 输出进行白名单过滤 2. Serve user-uploaded attachments with : 设置 CDN 或上传时的 头，强制浏览器下载而不是渲染附件 3. Stop sharing the script CDN with user content: 将 CloudFront 分发与用户内容分离，避免 CSP 允许用户内容作为脚本源 4. Complementary: Set on the session cookie: 防止 JavaScript 访问会话 cookie --- POC 代码 Variant A: Budibase Cloud (live, lwnyub5k.budibase.app) Variant B: self-hosted 3.35.8

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Budibase存储型XSS漏洞：BASIC用户通过Markdown绕过CSP

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Budibase存储型XSS漏洞：BASIC用户通过Markdown绕过CSP

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！