Websecurity - Веб безпека

10.05.2013

У березні, 15.03.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в плагіні Search ‘N Save для WordPress. Про що найближчим часом повідомлю розробникам веб додатку.

Стосовно плагінів для WordPress раніше я писав про уразливості в VideoJS - HTML5 Video Player для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.07.2013

Cross-Site Scripting (WASC-08):

XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/wp-content/plugins/SearchNSave/js/zeroclipboard/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height

Full path disclosure (WASC-13):

http://site/wp-content/plugins/SearchNSave/searchnsave.php

http://site/wp-content/plugins/SearchNSave/error_log (на сайтах, де відключене виведення помилок в php-файлах і вони записуються в error_log)

Уразливі всі версії Search ‘N Save для WordPress.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in TP-Link TL-WA701N / TL-WA701ND (деталі)
• GnuTLS vulnerability (деталі)
• polarssl security update (деталі)
• Sonicwall Scrutinizer v9.5.2 - SQL Injection Vulnerability (деталі)
• Sonicwall OEM Scrutinizer v9.5.2 - Multiple Vulnerabilities (деталі)

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XML External Entity Injection (XXE) через oEmbed. У червні, 25.06.2013, я дослідив дану XXE уразливість.

Раніше я вже писав про FPD та XSS уразливості в WordPress.

XML External Entities (WASC-43):

Має місце XXE при включенні ембедів. Уразливість наявна в файлі class-oembed.php.

При доступі до зовнішніх сайтів по протоколу oEmbed, з яких включені ресурси (відео, зображення та інші), в XML відповіді можна вказати зовнішні сутності (через тег ENTITY). Це дозволить читати довільні файли на сайті, а також проводити атаки на інші сайти. Для використання XXE уразливості, нападник повинен контролювати сайт, з якого включені ресурси.

Уразливі версії WordPress 3.5 і 3.5.1.

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема FPD при завантаженні файлів та XSS при інсталяції/оновленні плагінів або тем. Хоча дану XSS вони оформили як одну дірку, але це дві XSS уразливості (одна для плагінів, а інша для шаблонів).

Раніше я вже писав про XSS уразливості в WordPress.

Нещодавно, 01.07.2013, я дослідив дані Full path disclosure та Cross-Site Scripting уразливості.

Full path disclosure (WASC-13):

Має місце FPD при завантаженні файлів. Якщо не може закачатися файл в папку для закачки, то в повідомленні про помилку присутній повний шлях.

Cross-Site Scripting (WASC-08):

XSS має місце при інсталяції чи оновленні плагінів або тем. Якщо в імені файла чи папки плагіна або теми присутній XSS код, то він виконається при інсталяції чи оновленні цього плагіна або теми.

Уразливі версії WordPress 3.5.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in D’Link DIR-615 - Hardware revision D3 / DIR-300 - Hardware revision A (деталі)
• Multiple Vulnerabilities in D’Link DIR-600 and DIR-300 (rev B) (деталі)
• HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS) (деталі)
• Qt vulnerabilities (деталі)
• Multiple Vulnerabilities in Edimax EW-7206-APg and EW-7209APg (деталі)

У версії WordPress 3.5.2 розробники виправили багато уразливостей, зокрема XSS при редагуванні медіа. Вони віднесли це не до дірок, а до “посилення безпеки”, але я вважаю це уразливостями. Хоча з опису це виглядає як одна XSS, але як я сьогодні вияснив, в формі редагування медіа є дві XSS уразливості (причому persistent XSS).

Раніше я вже писав про DoS уразливість в WordPress.

Cross-Site Scripting (WASC-08):

Це persistent XSS уразливості на сторінці http://site/wp-admin/post.php?post=1&action=edit в параметрах excerpt та content. Для атаки потрібно обійти захист від CSRF (отримати токен _wpnonce, що можна зробити з використанням reflected XSS).

WordPress 3.5.1 XSS-1.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки.

WordPress 3.5.1 XSS-2.html

Код виконається одразу після відправлення запиту на сторінці http://site/wp-admin/post.php?post=1&action=edit та при подальшому відвідуванні цієї сторінки або сторінки http://site/page_name/attachment/1/.

Уразливі версії WordPress 3.5.1 та попередні версії.

Нещодавно, Krzysztof опублікував Denial of Service уразливість в WordPress 3.5.1. Після того як він знайшов уразливість та проінформував розробників WP про неї, які проігнорували її, 07.06.2013 він оприлюднив деталі.

В WordPress була виявлена DoS уразливість. Що дозволяє проводити DoS атаки через кукіси до паролів постів і сторінок (якщо на сайті є хоча б один пост чи сторінка захищена паролем). Вже після оприлюднення деталей уразливості, розробники движка виправили її в версії WP 3.5.2.

Раніше я вже писав про Content Spoofing в TinyMCE та WordPress.

Denial of Service (WASC-10):

Уразливість наявна в class-phpass.php. Для паролів в постах і сторінках в останніх версіях WP розробники вирішили використати криптографію (зовнішній додаток PHPass). І при цьому допустили можливість передачі довільних значень в якості паролю, що може призвести до значного навантаження на сервер. В своєму адвізорі автор пропонує експлоіт та патч проти цієї уразливості.

• WordPress 3.5.1 Denial Of Service (деталі)

Уразливі версії WordPress 3.4 - 3.5.1.

P.S.

Враховуючи проблеми в роботі оригінального PoC, я розробив власний експлоіт для цієї DoS уразливості:

wordpress-dos.py

В даній добірці уразливості в веб додатках:

• Multiple Vulnerabilities in Linksys WRT160Nv2 (деталі)
• Multiple Vulnerabilities in Linksys WAG200G (деталі)
• Multiple Vulnerabilities in Linksys E1500/E2500 (деталі)
• Sony Playstation Vita Browser - firmware 2.05 - Adressbar spoofing (деталі)
• RSA Archer GRC Multiple Vulnerabilities (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах WP-SendSMS, NextGEN Gallery та Ultimate WordPress Auction. Для котрих з’явилися експлоіти. WP-SendSMS - це плагін для відправки смс-повідомлень, NextGEN Gallery - це плагін для створення галерей зображень, Ultimate WordPress Auction - це плагін для створення аукціону.

• WordPress WP-SendSMS 1.0 CSRF / XSS (деталі)
• NextGEN Gallery 1.9.12 Shell Upload (деталі)
• Ultimate WordPress Auction 1.0 Cross Site Request Forgery (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В 2011 році я вже писав про Content Spoofing в Moxieplayer, що є складовою частиною плагіна Media для TinyMCE (він входить в ядро TinyMCE). Даний візуальний редактор постачається з багатьма веб додатками, зокрема з WordPress. Ця флешка постачається з WP починаючи з версії 3.3.

Раніше я вже писав про Denial of Service в WordPress.

Content Spoofing (WASC-12):

Якщо попередня уразливість виглядала наступним чином (починаючи з TinyMCE 3.4b2 і в версії 3.4.7 вона була виправлена):

http://site/moxieplayer.swf?url=http://site2/1.flv

То нещодавно була виявлена нова уразливість, що дозволяє обійти захист і провести CS атаку:

http://site/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії TinyMCE 3.4b2 - 4.0b3. В червні ця уразливість була виправлена. Оновлена версія Moxieplayer присутня в TinyMCE 4.0.

В WordPress атака з використанням цієї флешки має наступний вигляд.

Попередній варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.4.2.

Новий варіант:

http://site/wp-includes/js/tinymce/plugins/media/moxieplayer.swf#?url=http://site2/1.flv

Уразливі версії WordPress 3.3 - 3.5.1. Цю уразливість виправили в WP 3.5.2.