漏洞关键信息 漏洞标题: yungifez Skuul v2.6.5 Exposure of Sensitive Information Through Metadata 漏洞描述: Skuul版本2.6.5未能对上传图像中的嵌入EXIF元数据进行清理或移除。当用户上传个人资料照片时,系统存储并提供原始文件,未清除元数据。这允许其他使用者或者管理员下载这些图像并从中提取敏感信息,如GPS位置、设备型号、时间戳和其他关于上传者的个人数据。 重现步骤: 1. 在(x.x.x.x:8000/login)以学生、老师、家长、管理员或超级管理员身份登录。 2. 浏览到http://sk.htb:8000/user/profile。 3. 上传包含元数据的图片,例如https://github.com/ianare/exif-samples/blob/master/jpg/gps/DSCN0010.jpg。 4. 将下载的图片保存到本地。 5. 使用任何在线EXIF查看器打开图片,如https://www.pic2map.com或https://exif.tools。 6. 注意到敏感的EXIF数据(如GPS坐标和设备信息)仍然存在。 影响: - 通过GPS元数据泄露用户位置。 - 泄露个人或设备信息(如电话型号、相机细节等)。 - 违反用户隐私和机构数据保护政策。 - 潜在不符合GDPR或类似的隐私法规。 建议: - 对所有上传的图片实施服务器端EXIF剥离。 - 仅存储和提供经过清理的图片版本。 - 在所有模块(个人资料、作业、附件等)上应用EXIF数据净化。 - 定期审查现有存储的文件以移除敏感元数据。 受影响版本: Skuul v2.6.5