研究人员警告称，热门在线调查工具 LimeSurvey 中存在两个漏洞，可遭远程工具用于执行恶意代码并在和用户交互很少或无需用户交互的情况下控制 web 服务器。

LimeSurvey 是一款免费的开源工具，可供用户创建在线调查项目。它每个月的下载量约为1万次，备受全球个人用户和组织机构的青睐。

可持续的 XSS 漏洞

RIPS 技术公司的研究人员在 LimeSurvey 版本2.72.3 中发现了两个潜在的严重漏洞。其中一个漏洞是可持续的跨站脚本问题，影响“以后继续 (resume later)”功能。该功能可允许用户保存未填写完的调查，然后通过提供邮件和密码的方式重新加载。

而邮件地址字段的清洁并不正确，导致攻击者能够注入恶意 JavaScript 代码，当用户访问某个特定的网页时（攻击者可诱骗受害者访问）或者当管理员在控制面板查看这些部分保存的数据时就会执行该代码。

攻击者能够利用这个漏洞，以认证身份的名义执行多种动作。

任意文件写入漏洞

第二个漏洞是一个任意的文件写入问题，攻击者可通过滥用 LimeSurvey 模板编辑器的方式上传恶意文件。虽然利用这个文件要求进行认证，但可通过利用 XSS 漏洞的方式实现。

研究人员指出，这两个漏洞都可被集成到同一个 payload 中，导致攻击者控制目标 web 服务器。

RIPS 技术公司的研究员 Robin Peraglie 解释称，“漏洞链……产生一个统一的最后阶段的利用代码，从而通过公开调查的‘以后继续’功能将恶意 JavaScript 代码添加到管理面板上。只要 JavaScript payload 能在管理员上下文中执行，那么它就能利用这个任意文件写入漏洞给予攻击者远程持续访问操作系统的 shell 权限以使影响最大化。”

漏洞已修复

收到漏洞通知的两天后，LimeSurvey 开发人员已在2017年11月发布版本 2.72.4 修复这些漏洞。然而，RIPS 技术公司仍然建议用户升级到最新发布的版本3。