IDOR漏洞导致广告条被任意删除
漏洞概述
我在Revive Adserver中发现了一个不安全的直接对象引用(IDOR)漏洞,该漏洞位于横幅删除端点,允许任何拥有管理者权限的用户删除其他管理者的横幅广告。该代码会验证用户对父级广告活动的访问权限,但未检查用户是否拥有正在被删除的特定横幅。这意味着管理者A可以通过删除其广告条来破坏管理者B的广告活动。
详细描述
/www/admin/banner-delete.php 端点存在IDOR漏洞。测试时,我可以在保持自己的 clientid 和 campaignid 参数有效的情况下,通过操纵 bannerid 参数来删除其他管理者的横幅。
漏洞原理如下:端点会检查我是否有权访问指定的客户和广告活动(代码第30-31行),但它从未验证我是否拥有试图删除的特定横幅(第32行缺少检查)。随后,代码会循环遍历提供的横幅ID并删除它们,过程中没有任何所有权验证(第40-48行)。
我在对比类似的删除端点时发现了此问题。campaign-delete.php 文件在循环内正确地验证了所有权,但 banner-delete.php 没有。
复现步骤
前提条件
- 两个管理者账户(管理者A - 攻击者,管理者B - 受害者)
- 每个管理者都有自己的客户、广告活动和横幅
- 运行 Revive Adserver 6.0.1
利用步骤
-
登录管理者A(攻击者)
- 访问
http://localhost:8080/www/admin/ - 使用管理者A的凭据登录
- 访问
-
导航到您的广告活动的横幅页面
- 访问:
http://localhost:8080/www/admin/campaign-banners.php?clientid=100&campaignid=100(使用您自己的clientid和campaignid)
- 访问:
-
提取CSRF令牌
- 打开浏览器开发者工具 -> 网络选项卡
- 查找任何操作链接(停用/删除)
- 复制
token参数值(32位十六进制字符串),例如:token=9fec0e8e46e9eb237d67d3da6e3e615b
-
识别受害者的横幅ID
- 横幅ID是连续的整数
- 可以通过枚举或其他方式获取
- 本次测试中:受害者的横幅ID为2001
-
构造恶意删除URL
http://localhost:8080/www/admin/banner-delete.php?token=<YOUR_TOKEN>&clientid=100&campaignid=100&bannerid=2001token:您有效的CSRF令牌(来自步骤3)clientid=100:您的客户ID(通过授权检查)campaignid=100:您的广告活动ID(通过授权检查)bannerid=2001:受害者的横幅ID(无检查!)
-
执行攻击
- 将构造的URL粘贴到浏览器的地址栏中
- 按回车键(在同一会话中)
- 您将被重定向并收到“横幅已被删除”的确认信息
影响
此漏洞允许管理者之间进行水平权限提升。攻击者可以:
- 破坏广告活动 - 删除竞争对手的横幅以干扰其广告活动。
- 造成收入损失 - 受害者失去有效的广告展示和潜在收入。
- 损害声誉 - 受影响的客户可能对平台失去信任。
- 破坏数据完整性 - 未经授权的删除绕过了审计控制。
攻击特征
- 所需权限低:仅需要一个管理者账户(非管理员)。
- 易于利用:简单的参数操作,无需特殊工具。
- 隐蔽性强:在日志中看起来像合法的删除操作。
- 可扩展性:可以自动化删除多个横幅。
- 跨上下文:代理商X的管理者可以攻击代理商Y的管理者。
后续进展
- 2025年10月27日,下午6:31 (UTC):项目方成员
mbeccati确认收到报告。 - 2025年10月27日,下午7:55 (UTC):报告状态更新为“已分类”。
- 2025年10月28日,上午8:12 (UTC):项目方成员
mbeccati提供了修复差异(diff F4938624)并请求验证。 - 2025年10月28日,上午11:04 (UTC):报告状态更新为“已解决”。项目方计划于2025年11月5日(周三)发布包含多个漏洞修复的安全版本,并申请CVE-ID。为避免漏洞细节过早公开被利用,将延迟公开披露。
- 2025年11月4日,下午5:43 (UTC):更新CVE编号为 CVE-2025-52670。
- 大约7天前:项目方成员
mbeccati请求并最终公开披露了此报告。 - 公开披露日期:2025年11月19日,上午9:35 (UTC)。
附加信息
- 漏洞提交者(
cyberjoker)要求署名为 "Vitaly Simonovich"。 - 漏洞严重性评级为 高(7.1)。
- 此报告未涉及赏金支付。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
:从资质到服务全方位测评推荐)
)
)
