Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01563
- 發信 Vendor: 趣放假股份有限公司
- Title: Funliday Arbitrary File Upload leads to XSS & Malicious File Hosting in S3 Bucket
- Introduction: 任意檔案上傳可以造成惡意檔案託管和 XSS
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2025/12/24 09:10:21 : 新提交 (由 CheN.. 更新此狀態)
- 2025/12/28 18:57:02 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 18:07:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 18:07:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 18:07:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/13 12:01:28 : 修補中 (由 組織帳號 更新此狀態)
- 2026/01/29 11:22:57 : 複測申請中 (由 組織帳號 更新此狀態)
- 2026/03/02 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01563
- 通報者:SamChen_696 (CheN..)
- 風險:低
- 類型:任意檔案上傳 (Arbitrary File Upload)
參考資料
漏洞說明: OWASP - Unrestricted File Upload
https://www.owasp.org/index.php/Unrestricted_File_Upload
漏洞說明: CWE-434: Unrestricted Upload of File with Dangerous Type
https://cwe.mitre.org/data/definitions/434.html
相關網址
敘述
概述
上傳頭像時發現的問題,funliday-assets.s3-accelerate.amazonaws.com / assets.funliday.com 允許上傳任意檔案 可回應為 text/html 。造成 XSS 和託管惡意檔案。
重置步驟
-
送出請求建立 HTML;PUT /users/694a336e46b79b68cc9a9221/avatar-7f98a14c-b916-4e6e-802b-72340cb5a6ba?.....
contentType 修改為 text/html 輸入Payload
<html>
<body>
<h1>Hacked by CheN..</h1>
<img src=x onerror=alert(document.domain)>
</body>
</html> -
瀏覽 https://assets.funliday.com/users/694a336e46b79b68cc9a9221/avatar-7f98a14c-b916-4e6e-802b-72340cb5a6ba 出現alert彈窗,且成功插入任意Html標籤。惡意檔案託管同樣也是可行的
PoC
XSS 網址:https://assets.funliday.com/users/694a336e46b79b68cc9a9221/avatar-7f98a14c-b916-4e6e-802b-72340cb5a6ba
檔案網址 :https://assets.funliday.com/users/694a336e46b79b68cc9a9221/avatar-7f98a14c-b916-4e6e-802b-72340cb5a6ba
完整封包截圖
影響
品牌釣魚:攻擊者能將假登入網頁、詐騙活動頁掛在 assets.funliday.com,大幅提高可信度與點擊率。
惡意檔託管:任何可執行檔、巨集文件皆可透過官方網域散佈,使用者難以分辨。
修補建議
僅接受 image/jpeg | png;拒絕 text/html、可執行壓縮檔。