Нова XSS уразливість в WP-Cumulus для WordPress та мільйонах сайтів

23:50 17.11.2011

Раніше я вже писав про XSS уразливість в WP-Cumulus для WordPress та багатьох інших плагінах (а також віджетах і темах) для різних движків, що використовують tagcloud.swf розроблений автором WP-Cumulus. Про мільйони флешек tagcloud.swf вразливих до XSS атак я згадував у своїй статті XSS уразливості в 34 мільйонах флеш файлах.

В листопаді, 09.11.2011 (через три роки після оприлюднення попередньої уразливості), я знайшов нову Cross-Site Scripting уразливість в WP-Cumulus для WordPress. Знайшов її на одному е-комерс сайті. Що також має місце в багатьох інших веб додатках та мільйонах сайтів. Про що найближчим часом повідомлю розробнику WP-Cumulus. Якщо попередня уразливість стосувалася параметра mode, то нова - параметра xmlpath.

XSS:

http://site/tagcloud.swf?xmlpath=xss.xml
http://site/tagcloud.swf?xmlpath=http://site/xss.xml

Файл xss.xml:

<tags>
<a href="javascript:alert(document.cookie)" style="font-size:+40pt">Click me</a>
<a href="http://websecurity.com.ua" style="font-size:+40pt">Click me</a>
</tags>

Код виконається при кліку. Це Strictly social XSS. Також можна провести HTML Injection атаку, подібно до WP-Cumulus.

Атака спрацює лише у нових версіях флешки, де додали підтримку параметра xmlpath. В старих версіях (невразливих) в контекстному меню вказано “WP-Cumulus by Roy Tanck”, а в нових версіях (вразливих) вказано “WP-Cumulus by Roy Tanck and Luke Morton”. Атака спрацює лише коли xml-файл розміщений на цьому самому сайті (шлях може бути вказаний як відносний, так і абсолютний). Розширення файла може бути довільне.

При цьому патч Роя (версія флешки для WP-Cumulus 1.23) спрацьовує і для даної уразливості, тому в пропатчених версіях флешки XSS вже не спрацює, тільки HTML Injection.

Уразливі всі версії WP-Cumulus для WordPress. Та повинні бути уразливими Joomulus для Joomla, JVClouds3D для Joomla, Blogumus, 3D Cloud для Joomla, Tagcloud для DLE, t3m_cumulus_tagcloud для TYPO3, Cumulus для BlogEngine.NET, tagcloud для Kasseler CMS, 3D user cloud для Joomla, Flash Tag Cloud для Blogsa та інших ASP.NET движків, b-cumulus, Cumulus для Drupal, sfWpCumulusPlugin для symfony, Flash Tag Cloud For MT 4, MT-Cumulus для Movable Type, Tumulus для Typepad, WP-Cumulus для RapidWeaver, HB-Cumulus для Habari, Cumulus для DasBlog, EZcumulus та eZ Flash Tag Cloud для eZ Publish, Simple Tags для Expression Engine (версія 1.6.3 і нові версії, де була додана підтримка даного swf-файла), Freetag для Serendipity (підтримка флеш-файла була додана в версії 2.103), Tag cloud для Social Web CMS, Animated tag cloud для PHP-Fusion, 3D Advanced Tags Clouds для Magento, Cumulus для Sweetcron та інші веб додатки з цією флешкою.

А також теми для движків, зокрема для Drupal, що використовують цю флешку (про п’ять вразливих тем до Drupal я писав раніше). Як я зазначив вище, вразливі лише веб додатки з новими версіями цього флеш-файла (і багато веб додатків та сайтів використовують саме нові версії флешки).


Leave a Reply

You must be logged in to post a comment.