Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Ajax Category Dropdown та BuddyPress. Для котрих з’явилися експлоіти. Ajax Category Dropdown - це плагін для створення випадаючого списку категорій, BuddyPress - це плагін для створення соціальної мережі на сайті на WP.

• Multiple SQL Injection in Ajax Category Dropdown wordpress plugin (деталі)
• XSS in Ajax Category Dropdown wordpress plugin (деталі)
• Path disclosure in BuddyPress WordPress plugin (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Подібно до уразливостей в багатьох темах для WordPress, Drupal, ExpressionEngine та Joomla, також уразливою є тема Magazeen для WordPress та Dotclear.

У березні, 05.03.2011, я знайшов Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в темі Magazeen для WordPress та Dotclear. Так само як раніше згадані теми для WordPress та інших движків, так само інші теми для Dotclear можуть бути уразливими (при використанні TimThumb).

Cross-Site Scripting, Full path disclosure, Abuse of Functionality та Denial of Service уразливості в даних темах такі ж самі як і в раніше згаданих темах для WP, Drupal, ExpressionEngine та Joomla. Тому що дані шаблоні містять TimThumb, про уразливості в якому я вже писав.

Для WordPress:

XSS:

http://site/wp-content/themes/magazeen/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E

Для Dotclear:

XSS:

http://site/themes/magazeen%5Bdc2%5D/timthumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E

Обидві версії даної теми уразливі до XSS, Full path disclosure, Abuse of Functionality та DoS.

Уразливі версії теми Magazeen (1.0 та наступні) для WP і DC з TimThumb 1.24 та попередніми версіями.

06.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://8line.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

29.04.2011

SQL Injection:

http://8line.com.ua/index.php?content_id=-1%20or%20version()=5

Дана уразливість досі не виправлена.

В даній добірці уразливості в веб додатках:

• HP System Management Homepage (SMH) for Linux and Windows, Remote URL Redirection (деталі)
• XSRF (CSRF) in Wolf CMS (деталі)
• XSS vulnerability in Frog CMS (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote Information Disclosure (деталі)
• SQL injection and Path Disclosure Auth Bypass in 4images 1.7.X (деталі)
• Alcatel-Lucent - arbitrary code execution on OmniVista 4760 (деталі)
• Stored XSS (Cross Site Scripting) vulnerability in Diferior (деталі)
• HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS) (деталі)
• Multiple XSS in Alguest (деталі)
• Web commands injection through FTP Login in Synology Disk Station (деталі)

03.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на сайті Держрибагентства України - http://www.dkrg.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливість з’явиться пізніше.

28.04.2011

SQL Injection:

http://www.dkrg.gov.ua/index.php?content_id=-1%20or%20version()%3E4

Дана уразливість досі не виправлена.

З дірявістю сайта та ігноруванням адмінами своїх проблем з безпекою зовсім недивно, що цей сайт вже взламували.

18.03.2011

У січні, 03.01.2011, я знайшов Cross-Site Scripting, URL Redirector Abuse та Insufficient Anti-automation уразливості в форумному движку MyBB. Які я виявив на одному сайті, що використовує даний движок. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MyBB.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

28.04.2011

Для XSS та URL Redirector Abuse використовується робочий акаунт на вразливому форумі. Про подібні атаки я писав в статті Атаки на незахищені логін форми.

XSS:

MyBB XSS-3.html

URL Redirector Abuse:

MyBB Redirector.html

Insufficient Anti-automation:

В формі реєстрації (http://site/member.php?action=register) використовується вразлива капча.

Для обходу капчі метод session reusing with constant captcha bypass method не підходить (на відміну від форми логіну, хоча це та сама капча, тому що в цій формі вони зробили дірку “не повністю”). Тому потрібно використати half-automated method описаний в моєму проекті Month of Bugs in Captchas.

Також може бути включене обмеження по IP. Обмеження на дві рєстрації з одного IP за 24 години повністю не захистить, бо обходиться через використання проксі. Тому потрібно мати надійну капчу.

Уразливі MyBB 1.6.3 та попередні версії. В версіях MyBB 1.6.3 та 1.4.16, що вийшли 17.04.2011, розробники не виправили дані уразливості.

02.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://www.c3.kiev.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

27.04.2011

SQL Injection:

http://www.c3.kiev.ua/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість виправлена шляхом заміни движка (замінили один дірявий движок на інший дірявий).

В даній добірці уразливості в веб додатках:

• Alcatel-Lucent - unauthenticated administrative access to CTI CCA Server (деталі)
• XSS vulnerability in Wolf CMS (деталі)
• XSRF (CSRF) in Frog CMS (деталі)
• 3Com OfficeConnect Gigabit VPN Firewall (3CREVF100-73), Remote Cross Site Scripting (XSS) (деталі)
• XSS vulnerability in Frog CMS (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote URL Redirection (деталі)
• XSS vulnerability in Frog CMS (деталі)
• HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS), HTTP Response Splitting, and Other Vulnerabilities (деталі)
• XSS vulnerability in Wolf CMS (деталі)
• HP System Management Homepage (SMH) for Linux, Remote Disclosure of Sensitive Information (деталі)

01.07.2010

У червні, 30.06.2010, я знайшов SQL Injection уразливість на проекті http://sailing.com.ua. Про що найближчим часом сповіщу адміністрацію проекту.

Детальна інформація про уразливість з’явиться пізніше.

26.04.2011

SQL Injection:

http://sailing.com.ua/index.php?content_id=-1%20or%20version()%3E5

Дана уразливість досі не виправлена.

Раніше я вже писав про численні уразливості в WordPress 2 та 3, а зараз повідомляю про Code Execution уразливість в WordPress, яку я виявив 18.04.2011 (хоча цю проблему я став досліджувати ще з 2006 року, як почав використовувати WP).

Можлива Code Execution атака в WordPress через аплоадер. Атака може бути проведена користувачами з правами Author, Editor та Administrator.

В WordPress 2.5 - 2.8.4 можна завантажувати php скрипти (1.php) в Media Library. В 2.5 - 2.7.1 атака можлива лише для Administrator. Для Author та Editor не можна завантажити ні 1.php, ні через подвійні розширення атака не спрацює.

В версії 2.8.5 це було заборонено також і для Administrator. І хоча в 2.8 - 2.8.5 для Author та Editor (а для Administrator в 2.8.5) не можна завантажити 1.php, зате можна завантажити 1.php.txt.

При тому, що в WP 2.0 - 2.0.11 (де не було Media Library) для усіх ролей не можна було завантажувати файли з php розширенням (та обхідні методи не працювали). Як і в версіях 2.1.x, 2.2.x і 2.3.x. Лише в WordPress 2.2 Alexander Concha знайшов уразливість, що дозволяла завантажувати файли з php розширенням (вона стосується тільки версій WordPress 2.2 та WordPress MU <= 1.2.2).

В версіях 2.8.6 і вище це вже заборонено. Атака через подвійні розширення (1.php.txt чи 1.asp;.txt) не спрацює, але можна використати 1.phtml.txt (для всіх трьох ролей) для виконання коду.

Уразливі версії WordPress 2.5 - 3.1.1. Перевірено в WordPress 2.6.2, 2.7, 2.8, 2.8.4, 2.8.5, 2.8.6, 2.9.2, 3.0.1 і 3.1.1. Атака через подвійне розширення спрацює на Apache з відповідною конфігурацією.

P.S.

Свіжевипущений WP 3.1.2 також уразливий.