Shopify 帮助中心(help.shopify.com)的 AI 聊天助手在处理 Markdown 图片渲染时存在缺陷,攻击者可利用跨站请求伪造(CSRF)在受害者会话中植入恶意 Markdown 图片链接,最终触发反射型 XSS(RXSS),进而泄露用户个人信息并劫持支持对话。
漏洞概述
Shopify 帮助中心的 AI 聊天机器人在向用户展示问候语时,支持 Markdown 语法以丰富对话体验。在问候语的生成过程中,部分用户可控的输入会被直接反射到页面中。攻击者通过一个 CSRF 请求,可在受害者的会话中设置包含恶意 Markdown 图片的问候语。当受害者后续访问搜索页面时,该问候语被渲染,其中的 Markdown 图片链接因target="_blank"属性,需要用户使用鼠标中键点击才能触发 XSS(但攻击者可通过社会工程诱导用户执行该操作)。一旦触发,恶意脚本将窃取受害者个人信息,并尝试将攻击者邮箱添加为受害者已有支持对话的订阅者,从而获取对话内容或参与其中。
根本原因
CSRF 漏洞:
https://help.shopify.com/en/search端点接受POST请求,其中greeting参数可被攻击者任意设置,且该请求缺乏有效的 CSRF 防护(如 anti-CSRF token 或同源校验),使得攻击者可以跨站诱导已登录用户发起该请求,将恶意问候语存入受害者会话。Markdown 渲染缺陷:问候语中的 Markdown 图片语法(
)会被解析并渲染为 HTML 链接(<a>标签),且该链接带有target="_blank"属性,用户点击时会在新标签页打开。攻击者将javascript: