è„†å¼±æ€§ã‚’å ±å‘Šã—ã¦åˆã‚ã¦æŽ¡ç•ªã•ã‚ŒãŸCVEã®è§£èª¬ã¨æ³¨æ„å–šèµ·
ã“ã®ãƒ–ãƒã‚°ã§ã¯ãŠä¹…ã—ã¶ã‚Šã§ã™ã€‚azaraã§ã™ã€‚
è¿‘æ³ã®å ±å‘Šãªã©ã¯åˆ¥ã®è¨˜äº‹ã§æ›¸ãã¨ã—ã¦ã€æœ¬è¨˜äº‹ã¯IPFactory Advent Calendar 2020ã®17日目ã®è¨˜äº‹ã§ã™ã€‚IPFactoryã«é–¢ã—ã¦ã¯ã“ã¡ã‚‰ã‚’ã”覧ãã ã•ã„。
注æ„å–šèµ·
本ブãƒã‚°ã®å†…容ã¯ã‚»ã‚ュリティã«é–¢ã™ã‚‹çŸ¥è¦‹ã‚’広ã共有ã™ã‚‹ç›®çš„ã§åŸ·ç†ã•ã‚Œã¦ãŠã‚Šã€è„†å¼±æ€§ã®æ‚ªç”¨ãªã©ã®æ”»æ’ƒè¡Œç‚ºã‚’推奨ã™ã‚‹ã‚‚ã®ã§ã¯ã‚ã‚Šã¾ã›ã‚“。許å¯ãªãプãƒãƒ€ã‚¯ãƒˆã«æ”»æ’ƒã‚’åŠ ãˆã‚‹ã¨çŠ¯ç½ªã«ãªã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ç†è€…ãŒè¨˜è¼‰ã™ã‚‹æƒ…å ±ã‚’å‚照・模倣ã—ã¦è¡Œã‚ã‚ŒãŸè¡Œç‚ºã«é–¢ã—ã¦ç†è€…ã¯ä¸€åˆ‡è²¬ä»»ã‚’è² ã„ã¾ã›ã‚“。
ã¾ãŸã€è©²å½“製å“ã¯å¸¸ã«ä»Šå›žã™ã‚‹è„†å¼±æ€§ã¸ã®ä¿®æ£ã‚’è¡Œã£ã¦ã„ã‚‹ãŸã‚ã€å½±éŸ¿ã‚’確ã‹ã‚ãªãŒã‚‰ã‚¢ãƒƒãƒ—デートを行ã†ã“ã¨ã‚’å¼·ããŠå‹§ã‚ã—ã¾ã™ã€‚
JVN#56450373 GROWI ã«ãŠã‘る複数ã®è„†å¼±æ€§ / JVN#94169589 GROWI ã«ãŠã‘る複数ã®è„†å¼±æ€§
今回採番ã•ã‚ŒãŸCVE
- CVE-2020-5676
- CVE-2020-5677
- CVE-2020-5678
- CVE-2020-5682
脆弱性解説
ä»Šå›žå ±å‘Šã—ãŸè„†å¼±æ€§ã«ãŠã„ã¦ã€RCEã‚„NoSQLiãªã©ã®è„†å¼±æ€§ã¯å ±å‘Šã—ã¦ã„ãªã„ãŸã‚ã€ç·Šæ€¥åº¦ã®é«˜ã„ã‚‚ã®ã§ã¯ã‚ã‚Šã¾ã›ã‚“。ãŸã ã—ã€æ”»æ’ƒæ‰‹æ³•ã«é–¢ã—ã¦ã¯ç°¡å˜ãªã‚‚ã®ãŒå¤šã‹ã£ãŸãŸã‚å…ˆã®æ³¨æ„å–šèµ·ã§ã‚‚è¿°ã¹ãŸé€šã‚Šã€å½±éŸ¿ã‚’確ã‹ã‚ãªãŒã‚‰ã‚¢ãƒƒãƒ—デートを行ã†ã“ã¨ã‚’å¼·ããŠå‹§ã‚ã—ã¾ã™ã€‚
CVE-2020-5676
ユーザーãŒè¨å®šã—ãŸéžå…¬é–‹çŠ¶æ…‹ã®emailãŒHTML常ã«è¡¨ç¤ºã•ã‚Œã¦ã„ã‚‹ã¨ã„ã†ã‚‚ã®ã§ã™ã€‚
å†ç¾æ‰‹é †
- メールアドレスã®å…¬é–‹ã‚’éžå…¬é–‹ã«è¨å®š
- 別アカウントã§ãƒã‚°ã‚¤ãƒ³ã‚’ã—先程è¨å®šã—ãŸãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒšãƒ¼ã‚¸ã‚’閲覧ã™ã‚‹
Devツールãªã©ã§HTMLを確èªã™ã‚‹ã¨ãƒ¦ãƒ¼ã‚¶ãƒ¼æƒ…å ±ãŒJSONå½¢å¼ã§è¡¨ç¤ºã•ã‚Œã¦ã„る。ãã®ä¸ã«å…ˆç¨‹è¨å®šã—ãŸãƒ¡ãƒ¼ãƒ«ãŒè¡¨ç¤ºã•ã‚Œã¦ã„る。
リスク
é éš”ã®ç¬¬ä¸‰è€…ã«ã‚ˆã£ã¦ã€ãƒ¦ãƒ¼ã‚¶ãŒéžå…¬é–‹ã«ã—ã¦ã„ã‚‹æƒ…å ±ã‚’çªƒå–ã•ã‚Œã€‚
ä¿®æ£çŠ¶æ³
emailãŒè¡¨ç¤ºã•ã‚Œã¦ã„ãŸid=content-mainを確èªã™ã‚‹ã¨ã€emailãŒè¡¨ç¤ºã•ã‚Œã¦ã„ãªã„ã“ã¨ãŒç¢ºèªã§ãã¾ã™ã€‚
CVE-2020-5677
Header タグ内ã«PathãŒå‡ºåŠ›ã•ã‚ŒãŸéš›ã®XSSフィルターã®å‡¦ç†ãŒä¸å®Œå…¨ãªçŠ¶æ…‹ã ã£ãŸãŸã‚HTMLã‚¿ã‚°ãŒå‡ºåŠ›ã•ã‚Œã¦ã—ã¾ã„ã€XSSãŒå®Ÿè¡Œã§ãã¦ã—ã¾ã†è„†å¼±æ€§ã§ã—ãŸã€‚
Pathã‚’titleã«è¡¨ç¤ºã™ã‚‹ãƒšãƒ¼ã‚¸å…¨èˆ¬ã§ç™ºç”Ÿã—ã€æ”»æ’ƒã®æ‰‹æ³•ã¨ã—ã¦ã¯ç°¡å˜ã«å®Ÿè¡Œã§ãã¦ã—ã¾ã„ã¾ã™ã€‚
Plane : http://localhost:3000/Sandbox</title</s>><script<s>>alert(1);</script</s>>
URL encode: http://localhost:3000/Sandbox%3C/title%3C/s%3E%3E%3Cscript%3Cs%3E%3Ealert(1);%3C/script%3C/s%3E%3E
å†ç¾æ‰‹é †
å ±å‘Šå½“æ™‚ã®Growiã§ã¯XSS対ç–ã®ãŸã‚ã«ã‚¿ã‚°æ–‡å—(例: <s>ã®ã‚ˆã†ã«å®Œå…¨ã«é–‰ã˜ã‚‰ã‚ŒãŸã‚‚ã®)を削除ã™ã‚‹ã¨ã„ã†æ©Ÿæ§‹ãŒã‚ã‚Šã¾ã—ãŸã€‚
実際ã«ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’投ã’ã‚‹ã¨æ¬¡ã®ã‚ˆã†ã«è¡¨ç¤ºã•ã‚Œã¾ã™ã€‚
URL: http://localhost:3000/Sandbox%3Cs%3Ehoge%3C/s%3E
CTFã®å•é¡Œã§ã¿ãŸã“ã¨ã®ã‚る挙動ã ã£ãŸã®ã§è©¦ã—ã«<s<s>>hoge</s<s>>ã®ã‚ˆã†ãªå½¢å¼ã§å…¥åŠ›ã‚’ã—ã¦ã¿ã¾ã—ãŸã€‚
URL: http://localhost:3000/Sandbox%3Cs%3Cs%3E%3Ehoge%3C/s%3Cs%3E%3E
ã™ã‚‹ã¨ç´ ç›´ã«ã‚¿ã‚°ãŒè¡¨ç¤ºã•ã‚Œã‚‹ã‚ˆã†ã«ãªã‚Šã¾ã—ãŸã€‚ã‚ã¨ã¯</title>ã§ã‚¿ã‚°ã‚’é–‰ã˜ã‚‰ã‚Œã€<script></script>ãŒæŒ¿å…¥ã§ãã‚Œã°XSSãŒã§ãã¾ã™ã€‚
ãã“ã§ã“ã®æ©Ÿæ§‹ã‚’回é¿ã™ã‚‹ãŸã‚ã«</title<s>><script<s>>alert(1)</script<s>>ã®ã‚ˆã†ãªå…¥åŠ›ã‚’URLã«è¡Œã„ã¾ã—ãŸã€‚
URL: http://localhost:3000/Sandbox%3C/title%3Cs%3E%3E%3Cscript%3Cs%3E%3Ealert(1)%3C/script%3Cs%3E%3E
ã™ã‚‹ã¨alert(1)ã®è¡¨ç¤ºãŒãƒãƒƒãƒ—アップã—ã¾ã™ã€‚
HTMLã®è¡¨ç¤ºã‚’確èªã™ã‚‹ã¨ã€HTMLã‚¿ã‚°ãŒè¡¨ç¤ºã•ã‚Œã¦ãŠã‚ŠXSSãŒä½œå‹•ã—ã¦ã„ã‚‹ã“ã¨ãŒç¢ºèªã§ãã¾ã™ã€‚
リスク
当該製å“を使用ã—ã¦ã„るサイトã«ã‚¢ã‚¯ã‚»ã‚¹ã—ãŸãƒ¦ãƒ¼ã‚¶ã®ã‚¦ã‚§ãƒ–ブラウザ上ã§ã€ä»»æ„ã®ã‚¹ã‚¯ãƒªãƒ—トを実行ã•ã‚Œã‚‹ 。
ä¿®æ£çŠ¶æ³
/よりå³ã«ä½ç½®ã™ã‚‹æ–‡å—列ã®ã¿<title>内ã«è¡¨ç¤ºã™ã‚‹ã“ã¨ã§ä¿®æ£ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚
CVE-2020-5678
ページã®é…下ã«ã‚るページをリストã§è¡¨ç¤ºã™ã‚‹ç®‡æ‰€ã§ç™ºç”Ÿã—ãŸXSSã§ã€å…ˆã®CVE-2020-5677ã®ç™ºå±•ã§ç™ºè¦‹ã—ãŸã‚‚ã®ã§ã™ã€‚
å†ç¾æ‰‹é †
XSSフィルター自体ãŒãƒžãƒ¼ã‚¯ãƒ€ã‚¦ãƒ³ã«ã¯æœ‰åŠ¹ã§ã—ãŸãŒãれ以外ã®éƒ¨åˆ†ã§ã¯CVE-2020-5677åŒæ§˜ã®XSSã¸ã®å¯¾ç–機構を利用ã—ã¦ã„ã¾ã—ãŸã€‚
検証ã®ãŸã‚ã€ã¾ãšåˆã‚ã«<s>test1</s>ã®ã‚ˆã†ãªã‚¿ã‚¤ãƒˆãƒ«ã¦æ–°è¦ãƒšãƒ¼ã‚¸ã‚’作ã£ã¦ã¿ã¾ã—ょã†ã€‚
ã™ã‚‹ã¨Pathã§ã¯<s>test1</s>ã®URLエンコードã•ã‚ŒãŸæ–‡å—列ãŒè¦‹ãˆã¾ã™ã€‚
ã—ã‹ã—ã€HTMLã®è¡¨ç¤ºä¸Šã¯åæ˜ ã•ã‚Œã¦ã„ãªã•ãã†ã§ã™ã€‚
ãã®ã‚ã¨æ–°è¦ä½œæˆã‚’ã™ã‚‹éš›ã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’見ã¦ã‚‚ã€<s>ã‚¿ã‚°ã¯å‰Šé™¤ã•ã‚Œã¦é€ä¿¡ã•ã‚Œã¦ã„ã¾ã™ã€‚
リストã®è¡¨ç¤ºä¸Šã‚‚当然ã€æ‰“ã¡æ¶ˆã•ã‚Œã¦ã„ã¾ã›ã‚“。
次ã«å…ˆç¨‹ã®CVE-2020-5677åŒæ§˜ã«<s<s>>test2</s<s>>ã®ã‚ˆã†ãªå½¢å¼ã§ãƒšãƒ¼ã‚¸ã‚’作æˆã—ã¾ã—ょã†ã€‚
æ–‡å—符å·åŒ–ã¯ã—ã¦ãã†ã§ã™ãŒè¡¨ç¤ºã•ã‚Œã¦ã„ã‚‹ã®ãŒã‚ã‹ã‚Šã¾ã™ã€‚
一部ã§ã¯ã‚ã‚Šã¾ã™ãŒHTML上ã«è¡¨ç¤ºã•ã‚Œã¦ã„ã‚‹Pathを見ã¦ã‚‚æ–‡å—符å·ã«ãªã£ã¦ã„ã¾ã™ã€‚
リクエストをã¿ã‚‹ã¨<s>test2</s>ã¨ãªã£ã¦ã„ã‚‹ã®ã§ã‚‚ã—ã‹ã—ãŸã‚‰ã¨æ€ã„リストを見ã«è¡Œãã¾ã™ã€‚
確èªã‚’ã™ã‚‹ã¨ã€<s>ã‚¿ã‚°ã¯ã—ã£ã‹ã‚Šã¨å‰Šé™¤ã•ã‚Œã¦ã„ã¾ã™ã€‚
最後ã®ç¢ºèªã¨ã—ã¦ã€CVE-2020-5677よりもã†ä¸€ã¤<s>タグを増やã—ページを作æˆã—ã¾ã™ã€‚
実際ã«æ–°è¦ä½œæˆã‚’ã—ã¦ã¿ã‚‹ã¨<s>ã‚¿ã‚°ãŒæ‰“ã¡æ¶ˆã—線を引ã„ã¦ã„ã‚‹ã®ãŒã‚ã‹ã‚Šã¾ã™ã€‚
最後ã«<script<s<s>>>alert(1)</script<s<s>>>ã§ãƒšãƒ¼ã‚¸ã‚’作ã£ã¦ã¿ã¾ã—ょã†ã€‚
ã§ã¾ã—ãŸã€‚
ä¿®æ£çŠ¶æ³
ページåã«å«ã¾ã‚Œã‚‹ã‚¿ã‚°æ–‡å—ãŒãƒªã‚¹ãƒˆã«è¡¨ç¤ºã•ã‚Œã‚‹å ´åˆã¯å‰Šé™¤ã•ã‚ŒãŸçŠ¶æ…‹ã§è¡¨ç¤ºã•ã‚Œã‚‹ã‚ˆã†ã«ãªã£ã¦ã„る。
CVE-2020-5682
Growiã§ã¯è¨˜äº‹ã«å¯¾ã—ã¦ã‚¿ã‚°ã‚’付与ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚ã“ã®ã‚¿ã‚°ã‚’検索ã™ã‚‹APIã§ã¯ã€mongodbã®æ£è¦è¡¨ç¾æ¤œç´¢ã‚’利用ã—ã¦ãŠã‚Šã€ãã®æ¤œç´¢ã®éš›ã«APIã®æ£è¦è¡¨ç¾ã‚’直接利用ã—ã¦ã„ã‚‹ãŸã‚DoSを引ãèµ·ã“ã™ã“ã¨ãŒã§ãã¾ã—ãŸã€‚
è¬è¾ž
脆弱性ã®ä¿®æ£ã‚’è¡Œã£ã¦ãã ã•ã£ãŸé–‹ç™ºè€…ã®çš†æ§˜ã€ãã—ã¦é–¢é€£ã™ã‚‹æ¥å‹™ã‚„サãƒãƒ¼ãƒˆã‚’ã—ã¦ãã ã•ã£ãŸJPCERT/CC,IPAã®çš†æ§˜ã«å¿ƒã‚ˆã‚Šæ„Ÿè¬ç”³ã—上ã’ã¾ã™ã€‚
ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚
ã¾ãŸã€æ³¨æ„å–šèµ·ã®ãŸã‚詳細ã®é–‹ç¤ºã‚’許ã—ã¦ã„ãŸã ã„ãŸGrowiã®é–‹ç™ºé™£ã«ã¯æ”¹ã‚ã¦æ„Ÿè¬ç”³ã—上ã’ã¾ã™ã€‚
