Revive Adserver 用户名空格绕过漏洞:视觉不可区分的账户仿冒攻击剖析
Revive Adserver | 报告 #3413764 - 用户名规范化缺失允许创建视觉上无法区分的账户(基于空格的仿冒攻击)
报告概述
报告编号: #3413764
提交者: yoyomiski (ID 已验证)
提交至: Revive Adserver
提交时间: 2025年11月6日 4:12 (UTC)
状态: 已解决
受影响的版本:
- revive-adserver 6.0.2
摘要:
Revive Adserver 允许创建包含首部或尾部空格(例如“admin ”或“ admin”)的用户名。用户界面(UI)无法直观地将此类用户名与真正的“admin”账户区分开,导致产生视觉上完全相同的账户。这可用于仿冒管理员、混淆操作人员及隐藏恶意活动。该问题主要属于信息/用户体验(UX)漏洞,不会直接授予更高的权限,但会增加社会工程学攻击和审计/日志混淆的风险。
复现步骤
- 使用具有创建用户权限的账户登录 Revive Adserver。
- 进入 用户访问 → 添加用户。
- 创建一个包含首部或尾部空格的新用户名,例如:“ admin”。
- 保存新用户。打开用户列表或任何显示用户名的界面 —— 新账户看起来与真实的“admin”账户视觉上完全相同(或极难区分)。
视频验证证明(PoC): ███
影响
- 攻击者可以创建看起来与特权账户完全相同的账户,从而便利仿冒和社会工程学攻击。
- 人工审查日志或用户界面时,可能会将恶意行为错误地归因于合法的管理员账户,使事件响应复杂化。
时间线与讨论
- 2025年11月6日 4:12 UTC: yoyomiski 提交报告。
- 2025年11月6日 4:13 UTC: yoyomiski 更新漏洞信息,并发表评论指出两个名为“admin”的账户无法区分,仅邮箱不同。
- 2025年11月6日 7:27 UTC: Revive Adserver 团队成员 mbeccati 将状态更改为 已分类,确认问题存在并表示将讨论修复方案。
- 2025年11月6日 7:34 UTC: yoyomiski 评论认为此漏洞属于 不当的输入验证 范畴。
- 2025年11月11日 13:35 UTC: mbeccati 关闭报告并将状态更改为 已解决。提供了补丁文件
h1-3413764.patch,修复方式为禁止在用户名中使用空格,同时仍支持完整的 Unicode 字符集。计划于次周发布新版本。 - 约14天前: mbeccati 添加了弱点类型 “空格的不当中和”,并更新了 CVE 编号为 CVE-2025-55127。
- 约13天前: mbeccati 将严重性从“中危”更新为“中危 (5.4 CVSS)”,并请求及执行了报告披露。
报告详情
- 报告日期: 2025年11月6日 4:12 UTC
- 报告人: yoyomiski
- 报告对象: Revive Adserver
- 报告ID: #3413764
- 状态: 已解决
- 严重性: 中危 (5.4)
- 披露日期: 2025年11月19日 12:57 UTC
- 弱点: 空格的不当中和
- CVE ID: CVE-2025-55127
- 官方安全公告: https://www.revive-adserver.com/security/revive-sa-2025-004/
请注意:部分具体信息(如视频PoC链接和部分截图数据)已在原始报告中隐去。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号