Astaruf/CVE-2020-13654

GitHub: Astaruf/CVE-2020-13654

该工具演示并验证了 XWiki Platform 存储型 XSS 触发 CSRF 并实现权限提升的攻击链与修复方案。

Stars: 0 | Forks: 0

# CVE-2020-13654 - XWiki Platform < 12.8 - 存储型 XSS → CSRF → 权限提升

## 漏洞 XWiki Platform 在版本 **12.8** 之前未对用户可控字段应用 HTML 编码。确认受影响的字段是 **"Company"**（位于 *编辑 → 个人信息*），但其他个人资料字段使用相同的代码路径。当渲染个人资料页面时，存储的字段值会直接输出到 HTML 中，没有任何 `$escapetool.xml()` 或等效的转义调用。任何已认证的攻击者（包括刚注册的新用户）都可以存储任意 HTML/JavaScript，这些脚本会在每位访问该个人资料的用户的浏览器中持久执行，包括管理员。受影响 Velocity 模板中的**根本原因**： ``` ## 易受攻击（< 12.8）：值直接写入 DOM $xwiki.getUserProperty($user, "company") ## 已修复（≥ 12.8）：值在输出前进行 HTML 编码 $escapetool.xml($xwiki.getUserProperty($user, "company")) ``` | 字段 | 值 | |---|---| | 产品 | XWiki Platform | | 受影响版本 | < 12.8 | | 修复版本 | 12.8 | | CVSSv3 评分 | 7.5（高危） | | CWE | CWE-116 — 输出编码或转义不当 | ## 攻击场景此 PoC 演示了一个**零点击权限提升**链： ``` Low-privilege attacker account │ ├─ stores [*] Verifying stored payload ... ✅ Payload confirmed in page source. ════════════════════════════════════════════════════════════ EXPLOIT ARMED — WAITING FOR VICTIM Share this URL with (or wait for) an administrator to visit: >>> http://TARGET:8080/bin/view/XWiki/hacker When triggered, the attacker account 'hacker' will be silently added to XWikiAdminGroup. ════════════════════════════════════════════════════════════ 2024-01-15 10:23:01 [INFO] 📡 Payload executing in victim browser | 172.18.0.1 | START_PRIVESC_FOR_XWiki.hacker 2024-01-15 10:23:01 [INFO] 🎯 PRIVILEGE ESCALATION SUCCEEDED | 172.18.0.1 | SUCCESS_ELEVATED_XWiki.hacker ``` ## 修复升级到 **XWiki Platform ≥ 12.8**。修复会对所有用户可控的个人资料字段在渲染前应用 `$escapetool.xml()`，从而防止注入原始 HTML/JavaScript。如果无法立即升级，应限制自注册并使用 XWiki 的访问权限管理将个人资料可见性限制为受信任用户。 ## 时间线 | 日期 | 事件 | |---|---| | 2020年5月 | 发现漏洞 | | 2020年5月 | 报告给 XWiki 安全团队 | | 2020年7月 | 在 XWiki Platform 12.8 中修复 | | 2020年11月 | MITRE 分配 CVE-2020-13654 | | 2020年12月30日 | 公开披露 — [nstsec.com](https://nstsec.com/en/posts/xwiki-xss-cve-2020-13654/) | ## 参考 - https://nvd.nist.gov/vuln/detail/CVE-2020-13654 - https://nstsec.com/en/posts/xwiki-xss-cve-2020-13654/ - https://github.com/xwiki/xwiki-platform - https://cwe.mitre.org/data/definitions/116.html ## 免责声明本仓库仅提供**教育和授权的安全研究用途**。不要用于攻击您未拥有或未经明确书面许可的系统。作者不承担任何误用责任。

标签：API密钥检测, CISA项目, Company字段, CSRF, CVE-2020-13654, CVSS7.5, CWE-116, DOM型XSS, HTML注入, Profile编辑, Stored XSS, Velocity模板, XWiki, XWiki Platform, 协议分析, 文档安全, 无线安全, 服务端渲染, 权限提升, 补丁验证, 认证绕过, 账户接管, 输入验证, 输出编码, 逆向工具, 零点击, 高危漏洞