Нові уразливості в CMS WebManager-Pro

15:01 02.09.2010

20.04.2010

У жовтні, 10.10.2009, я знайшов SQL Injection та Redirector (URL Redirector Abuse) уразливості в CMS WebManager-Pro. Дані уразливості я виявив на webmanager-pro.com - сайті розробників даної CMS. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливість в CMS WebManager-Pro.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

02.09.2010

SQL Injection:

http://site/c.php?id=1%20and%20version()=5

Redirector:

http://site/c.php?id=1&url=http://websecurity.com.ua

Уразливі дві системи CMS WebManager-Pro від двох розробників. Уразливі версії CMS WebManager-Pro до 8.1 (версія від WebManager).

Також SQL Injection (але не Redirector) має місце в версії системи від FGS_Studio. Уразливі CMS WebManager-Pro v.7.4.3 (версія від FGS_Studio) та попередні версії.

Розробники з WebManager виправили SQL Injection уразливість (але не виправили Redirector) в версії CMS WebManager-Pro 8.1. Розробники з FGS_Studio не виправили SQL Injection уразливість (дані розробники взагалі проігнорували всі уразливості в їхній CMS, про які я їм повідомив).


8 відповідей на “Нові уразливості в CMS WebManager-Pro”

  1. Roman Chuvilin каже:

    Добрый день. Меня зовут Роман Чувилин, я Менеджер проектов компании webmanager. Ваше сообщение нами получено, меры по ликвидации этой уязвимости будут приняты. Спасибо за внимание к наему продукту.

  2. MustLive каже:

    Роман

    Всегда пожалуйста.

    Помимо моего уведомления об уязвимостях на вашем сайте и в вашей CMS WebManager-Pro (что я оставил у вас на сайте), я вам ещё напишу письма с детальной информацией. Но вначале я вам напишу об уязвимости в отдельной версии CMS WebManager-Pro сделаной другой веб дизайн студией (хотя дыра относится к ним, но используемый ими код базируется на вашей CMS и дыра может совпадать).

    И после того как я уведомлю разработчиков той версии CMS WebManager-Pro, и уведомлю об этом вас, я напишу вам о новых уязвимостях.

  3. Roman Chuvilin каже:

    Поскольку мы являемся разработчиком и владельцем даной ЦМС, а сайты на ней производятся (по крайней мере должы) только нашей студией -список “чужих” сайтов на нашей цмс был бы бля нас весьма полезен.

  4. MustLive каже:

    Я так и понимал, что должен быть один разработчик и данная ситуация (с ещё одной версией CMS от другого разработчика) у меня вызвала подозрение. Но, с другой стороны, могло оказаться, что вы дали право другой дизайн студии делать сайты на вашем движке (а я нашёл много дырявых сайтов на их версии движка).

    Поэтому в октябре, когда я сделал у себя в новостях анонсы уязвимостей на некоторых сайтах на данном движке (его версии от других разработчиков), я решил найти оригинального разработчика движка. И тогда я нашёл ваш сайт (со своими уязвимостями). В письме, когда я напишу вам детальную информацию об уязвимостях, я также приведу список найденных мною сайтов на “другой” версии вашей CMS WebManager-Pro.

  5. 525 каже:

    “http://site/c.php?id=1%20and%20version()=5″
    там звичайна інєкція, а не сліпа вивід йде як редиктр )

  6. MustLive каже:

    Ясна річ, що звичайна, я ж в тексті новини не писав, що сліпа - для blind SQLi я за звичай це вказую, а в інших випадках я пишу саме про звичайні ін’єкції.

    Твій комент я підправив, щоб не було SQL запиту з union. Друже, я в себе на сайті в більшості випадків для SQLi публікую саме PoCи (для яких використовую зокрема version()), а не робочі експлоіти ;-) . Бо я не наймався полегшувати життя скрипт кідісам. Робочі експлоіти для SQLi уразливостей я залишаю для себе, а публічно розміщую лише PoC. Професіонали зможуть самі собі підібрати кількість колонок, а ті хто цього зробити не можуть, хай шукають собі іншу інформацію.

  7. 525 каже:

    мда трохи непобачив 1%20and%20version()=5 зразу асоціації про сліпу) текст не читав перегялнув … :?

  8. MustLive каже:

    Так, з такими PoCами звичайно може виникнути асоціація з сліпою ін’єкцією. Але використовувати логічні вирази (як то 1=1 та інші) можна і зі звичайнийми SQLi :-) . Ось наприклад коли йде мова про використання if з benchmark для створення затримки (для визначення true/false), як у випадку SQL Injection на bezpeka.com, про яку я писав раніше, то тоді одразу можна зрозуміти, що це сліпа ін’єкція (навіть не вказуючи це).

    Тим не менш іноді я про це вказую (як стосовно знайдених мною дірок, так і в добірках уразливостей та експлоітів). Сам же я в більшості випадків публікую звичайні SQLi (й з тексту це видно). І переважно з такими PoC, як я вже писав вище.

Leave a Reply

You must be logged in to post a comment.