Etherpad文本编辑器中的代码执行漏洞

概述

Etherpad是一个开源的，基于Web的在线文本编辑器，它允许实时协作处理文档。Etherpad拥有250多个可用插件并具有版本历史记录和在线聊天功能，用户可以使用插件进行自定义。Etherpad非常受欢迎，在全球拥有数百万活跃用户。

研究人员在Etherpad 1.8.13中发现了两个关键漏洞。其中一个是XSS跨站脚本漏洞(CVE-2021-34817)，另一个是参数注入漏洞(CVE-2021-34816)。攻击者可以组合利用这两个漏洞，以完全接管Etherpad实例及其数据。

影响

XSS跨站脚本漏洞(CVE-2021-34817)允许攻击者接管Etherpad用户(包括管理员)，可被用于窃取或操纵敏感数据。参数注入漏洞(CVE-2021-34816)允许攻击者在服务器上执行任意代码，攻击者可以窃取、修改或删除所有数据，或针对可从服务器访问的其他内部系统。

攻击者可以在默认配置的Etherpad实例上，利用XSS漏洞获得管理员权限。之后结合利用参数注入漏洞(CVE-2021-34816)，从而在服务器上执行任意代码。

聊天消息中的持久性XSS(CVE-2021-34817)

Etherpad支持在线聊天功能，用户可以在每个群聊中交换消息。消息存储在服务器上，每个人都可以查看聊天记录。

当用户打开键盘时，聊天消息会在前端渲染，这涉及从该数据创建HTML元素。在渲染期间，聊天消息的userId属性被插入到DOM中，特殊字符没有被正确转义：

src/static/js/chat.js

173    const html =
174        `<p data-authorId='${msg.userId}' …> …` +
175        `<span …`;
176    if (isHistoryAdd) $(html).insertAfter('#chatloadmessagesbutton');
177    else $('#chattext').append(html);

在第174行，userId值被用于构建一个HTML标记字符串，随后该字符串在第176和177行被插入到DOM中。如果攻击者成功控制了聊天者的用户ID，那么他们将能够插入XSS有效载荷，并以受害者用户身份执行操作。那么攻击者如何才能控制用户 ID呢？

Etherpad还具有处理多种格式的导出/导入功能，包括基于JSON的自定义格式。这种格式的文件可以包含键盘内容、它的修订历史和所有相关的聊天消息。然后可以通过导入这样的文件来创建键盘的副本。示例导出文件如下所示：

example.etherpad

{    
        "pad:1": {        
             "chatHead": 0    
        },    
        "pad:1:chat:0": {        
            "text": "Hello World!",        
            "userId": "aE45C6209"    
        }
}

某些值在导入期间会被验证，但聊天消息的用户ID将按原样使用。由于导入功能默认启用，攻击者可以使用该功能创建一个带有用户ID的聊天消息键盘，用户ID由任意数据组成。

当该数据包含HTML标记时，然后将标记插入到DOM中，DOM将执行任何内联 JavaScript代码。因此，攻击者能够将恶意JavaScript代码注入聊天记录，然后在访问键盘时在管理员的浏览器中执行该代码。这使攻击者能够在管理员的浏览器上下文中发起进一步的攻击请求。

插件管理中的参数注入 (CVE-2021-34816)

Etherpad还具有一个管理区域，可供管理员用户使用。它允许他们管理插件、编辑设置和查看系统信息。

管理员安装插件时，带有插件名称的消息会通过WebSocket连接发送到后端。后端然后安装与该名称对应的NPM包：

src/static/js/pluginfw/installer.js

49    exports.install = async (pluginName, cb = null) => { 
 …      // ...
52      try { 
 …        // ...
56        await runCmd(['npm', 'install', /* ... */ pluginName]);
57      } catch (err) { 
 …        // ...
61      } 
 …      // ...
66    };

在第56行，插件名称直接被用作npm install系统命令的参数，没有进行任何验证或过滤。这使得攻击者可以从NPM存储库中指定恶意包，或者仅使用指向攻击者服务器上包的URL。

攻击者可以制作一个挂接到Etherpad内部的插件，例如创建一个后门API端点，或者只使用一个带有post-install脚本的包，该脚本将在安装包后立即执行。因此，攻击者可以执行任意代码和系统命令来完全破坏Etherpad实例及其数据。

总结

总而言之，当这两个漏洞被组合利用时，攻击者可以先使用XSS接管管理员的客户端，然后通过安装其所控制的插件来访问服务器。

原文地址：https://fendou.gqr5.cn/1473.html ------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。