作者:绿盟科技 来源:<http://blog.nsfocus.net/drupal8-cve-2017-6926/> 近期,著名的Drupal CMS网站爆出7个漏洞,其中1个严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。绿盟科技于上周发布了[《Drupal下周将发布重要安全补丁威胁预警通告》](http://blog.nsfocus.net/drupal-vulnerability/ "《Drupal下周将发布重要安全补丁威胁预警通告》")。 本篇文章对Drupal 8 – CVE-2017-6926漏洞进行了详细分析。 #### CVE-2017-6926 漏洞详情 先看下drupal官网的通告: <https://www.drupal.org/sa-core-2018-001></https://www.drupal.org/sa-core-2018-001>  有发布评论权限的用户,可以查看他们无权访问的内容和评论。 并且还可以为此内容添加评论。 想要触发这个漏洞,必须启用评论系统,并且攻击者必须有权发布评论。 从漏洞描述来看,问题可能出在评论的权限控制上了。 但是这里有一个坑,笔者当时就掉进去了:这里的权限,指的是文章的权限?还是评论的权限呢?是攻击者可以访问他们不公开的评论呢?还是攻击者可以访问不公开的文章的公开评论呢?下面我会详细的分析这个漏洞,并给出上面问题的答案。 漏洞是在8.4.5上解决的,看一下8.4.5修改的内容:  这里在CommentController.php(评论控制器)里加上了一个对entity实体是否有view权限的判断。 这个好理解,之前没有对entity的权限进行判断,导致不可view的entity也通过了权限检查,从而导致了越权。...
作者:绿盟科技 来源:<http://blog.nsfocus.net/drupal8-cve-2017-6926/> 近期,著名的Drupal CMS网站爆出7个漏洞,其中1个严重漏洞CVE-2017-6926,具有发表评论权限的用户可以查看他们无权访问的内容和评论,并且还可以为该内容添加评论。绿盟科技于上周发布了[《Drupal下周将发布重要安全补丁威胁预警通告》](http://blog.nsfocus.net/drupal-vulnerability/ "《Drupal下周将发布重要安全补丁威胁预警通告》")。 本篇文章对Drupal 8 – CVE-2017-6926漏洞进行了详细分析。 #### CVE-2017-6926 漏洞详情 先看下drupal官网的通告: <https://www.drupal.org/sa-core-2018-001></https://www.drupal.org/sa-core-2018-001>  有发布评论权限的用户,可以查看他们无权访问的内容和评论。 并且还可以为此内容添加评论。 想要触发这个漏洞,必须启用评论系统,并且攻击者必须有权发布评论。 从漏洞描述来看,问题可能出在评论的权限控制上了。 但是这里有一个坑,笔者当时就掉进去了:这里的权限,指的是文章的权限?还是评论的权限呢?是攻击者可以访问他们不公开的评论呢?还是攻击者可以访问不公开的文章的公开评论呢?下面我会详细的分析这个漏洞,并给出上面问题的答案。 漏洞是在8.4.5上解决的,看一下8.4.5修改的内容:  这里在CommentController.php(评论控制器)里加上了一个对entity实体是否有view权限的判断。 这个好理解,之前没有对entity的权限进行判断,导致不可view的entity也通过了权限检查,从而导致了越权。 我们看下关于entity的介绍:  我们再看下漏洞存在的函数 `\core\modules\comment\src\Controller\CommentController.php` ``` public function replyFormAccess(EntityInterface $entity, $field_name, $pid = NULL) { // Check if entity and field exists. $fields = $this->commentManager->getFields($entity->getEntityTypeId()); if (empty($fields[$field_name])) { throw new NotFoundHttpException(); } $account = $this->currentUser(); // Check if the user has the proper permissions. $access = AccessResult::allowedIfHasPermission($account, 'post comments'); $status = $entity->{$field_name}->status; $access = $access->andIf(AccessResult::allowedIf($status == CommentItemInterface::OPEN) ->addCacheableDependency($entity)); ``` 再来看下这个方法的路由 `\core\modules\comment\comment.routing.yml` ``` comment.reply: path: '/comment/reply/{entity_type}/{entity}/{field_name}/{pid}' defaults: _controller: '\Drupal\comment\Controller\CommentController::getReplyForm' _title: 'Add new comment' pid: ~ requirements: _custom_access: '\Drupal\comment\Controller\CommentController::replyFormAccess' options: parameters: entity: type: entity:{entity_type} ``` 可见replyFormAccess其实是getReplyForm方法的权限检查模块,传入replyFormAccess方法的参数将会是`{entity_type}/{entity}/{field_name}/{pid}` 我们实际测一下,访问这个模块,看看发送的参数是什么样子的: 对kingsguard test评论进行评论:   注意看url:<http://127.0.0.1/d/drupal4/comment/reply/node/1/comment/1></http://127.0.0.1/d/drupal4/comment/reply/node/1/comment/1> {entity_type}:node {entity}:1 {field_name}:comment {pid}:1 现在可以明确了,传入replyFormAccess里的entity类型是node节点类型,接着下断看下entity的数据  在大概知道$entity是什么之后,我们再来看下补丁代码:  可见补丁加了一个判断 ``` andIf(AccessResult::allowedIf($entity->access('view'))); ``` 看下allowedIf方法是怎么实现的: ``` public static function allowedIf($condition) { return $condition ? static::allowed() : static::neutral(); } ``` 可见allowedIf通过传入的参数的True/False来判断是否有权限进行操作。 这样看来,$entity->access(‘view’)只有True/False两种可能出现的值。 我们在后台下断,并且构造一个$test方法值等于$entity->access(‘view’),下断看看$test何时能为False:  首先来找找,关于回复评论处的权限设置: 我们在admin账号下,发表一片名为kingsguard的文章,此文章有一个kingsguard test的评论:  我们将kingsguard test 这条评论的权限编辑成不公开  我们用admin账号回复一下这个评论,后台看下$$test = $entity->access(‘view’);的值:   毫无疑问,$test的值是true 现在用另一个账号登录,也访问<http://127.0.0.1/d/drupal4/comment/reply/node/2/comment/6></http://127.0.0.1/d/drupal4/comment/reply/node/2/comment/6>这个连接试试:  $test仍然为true。 当时笔者就是掉到这个坑里了,明明这条评论设置为不公开,为什么不同用户访问,$entity->access(‘view’)都是true呢? 后来证明了,其实这里的$entity,指的不是评论,而是这篇文章,$entity->access(‘view’)也同样不是单条评论的是否有view权限,而是这篇文章是否有view权限。 其实观察url就可以发现这个问题了: <http://127.0.0.1/d/drupal4/comment/reply/node/1/comment/6></http://127.0.0.1/d/drupal4/comment/reply/node/1/comment/6>(回复第一篇文章的第六个评论) <http://127.0.0.1/d/drupal4/comment/reply/node/2/comment/6></http://127.0.0.1/d/drupal4/comment/reply/node/2/comment/6>(回复第二篇文章的第六个评论) 显然这里的1和2,指的是文章的编号,同时也是entity的编号,那显然entity指的是文章而不是评论。 我们用admin账号编辑kingsguard这篇文章,把published选项的勾去掉:  这时候用admin账号回复kingsguard test这条评论:  对于admin账号来说,$entity->access(‘view’);仍为true 再用其他账号登录:  因为admin账号发布的文章都被admin账号设置为不公开了,所以这里看不到任何文章。 继续用这个账号访问: <http://127.0.0.1/d/drupal4/comment/reply/node/2/comment/6></http://127.0.0.1/d/drupal4/comment/reply/node/2/comment/6>  可以看到,虽然文章不公开,仍然可以看到不公开文章的评论,并且还能对评论进行回复。 再看下后台下的断点:  此时的$entity->access(‘view’)变成了false #### 利用验证 假设id为{node_id}的文章被作者设置为不公开,想查看/回复此文章的id为{comment_id}的评论。 访问<http://x.x.x.x/comment/reply/node/{node_id}/comment/{comment_id}></http://x.x.x.x/comment/reply/node/{node_id}/comment/{comment_id}> #### 漏洞修复 升级Drupal至最新版本
