聯合報 Account Takeover Via Subdomain Stored XSS (2)

Vulnerability Overview

ZDID: ZD-2025-01474
發信 Vendor: 聯合報
Title: 聯合報 Account Takeover Via Subdomain Stored XSS (2)
Introduction: 個人簡介 / 留言 Stored XSS

處理狀態

目前狀態

公開

Last Update : 2026/01/15

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2025/12/10 10:05:20 : 新提交 (由 yusheng 更新此狀態)
2025/12/10 10:08:41 : 新提交 (由 yusheng 更新此狀態)
2025/12/11 16:32:32 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/05 11:52:07 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/05 11:52:07 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/05 11:52:07 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/01/07 17:48:43 : 已修補 (由組織帳號更新此狀態)
2026/01/15 03:00:09 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-01474
通報者：cat1528985 (yusheng)
風險：高
類型：預存式跨站腳本攻擊 (Stored Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份，或進行掛碼、轉址等攻擊行為。

漏洞說明： OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則：
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式：
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

PoC (留言功能)

登入聯合報會員
在 classic-blog.udn.com 的訪客留言功能，可注入 <script>
受害者查看留言，就會觸發
承上，使用新版的 blog.udn.com 查看留言，同樣會觸發

PoC (個人簡介)

個人簡介可以插入 <script>
受害者訪問簡介，就會觸發
新舊版本的部落格皆會受影響
於主站 udn.com 的文章留言時，預設會有超連結導到個人簡介，若受害者點擊就會觸發

影響

使用者在登入情況瀏覽個人簡介 / 留言，就會載入惡意 JS，竊取使用者的 cookie，且由於 udn.com 的 cookie 都是 httpOnly = false（在 https://zeroday.hitcon.org/vulnerability/ZD-2025-01473 有截圖佐證），故可以透過 JS 存取，達到帳號接管（Account Takeover）