Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00488
- 發信 Vendor: 台灣電腦網路危機處理暨協調中心(TWCERT/CC)
- Title: H2U永悅健康股份有限公司 聊天室私訊 Stored XSS
- Introduction: 聊天室私訊 Stored XSS
處理狀態
目前狀態
公開
Last Update : 2025/08/15
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/05/31 22:17:45 : 新提交 (由 yusheng 更新此狀態)
- 2025/06/04 21:22:00 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/06/12 15:51:32 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/06/12 15:51:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/06/12 15:51:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/07/31 03:00:10 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2025/08/07 14:33:26 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/15 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00488
- 通報者:cat1528985 (yusheng)
- 風險:嚴重
- 類型:預存式跨站腳本攻擊 (Stored Cross-Site Scripting)
參考資料
攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。
漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
member 要自行更換,換成您註冊的
https://running.biji.co/index.php?q=member&act=chat&member=2156967
https://running.biji.co/index.php?q=member&act=chat&member=2156967
敘述
漏洞的種類
重現漏洞方式:
- 免費註冊運動筆記兩個帳號(可用同一個手機註冊多組帳號) https://running.biji.co/
- 互相私訊
,並且在私訊輸入 <script>console.log("XSS")</script> (記得不要使用 alert 來測試,因為會一直執行程式碼 ,不然就會像我下面提供的影片一樣)
- 對方打開私訊就會執行程式碼
POC影片:https://drive.google.com/file/d/1fBsok_KK3aC3RwN9AWZOj6uX4aKDUy9F/view?usp=sharing
影響:
使用者點開私訊就會執行惡意程式碼,可竊取對方的資訊,以對方的身分執行任意操作
修補建議
1. 純文字的私訊的話,不要使用 .innerHTML 插入對話內容
2. 可考慮 DomPurify 淨化使用者的輸入
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。