Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• BackupPC vulnerability (деталі)
• Zend Framework - Local file disclosure via XXE injection (деталі)
• SugarCRM CE <= 6.3.1 "unserialize()" PHP Code Execution (деталі)
• Apache Roller Cross-Site-Resource-Forgery (XSRF) vulnerability (деталі)
• Apache Roller Cross-Site-Scripting (XSS) vulnerability (деталі)
• Vulnerabilities in OpenSSL (деталі)
• TEMENOS T24 Cross-Site Scripting (XSS) Vulnerability (деталі)
• Bookmark4U lostpasswd.php env[include_prefix] Parameter RFI (деталі)
• Basilic RCE bug (деталі)
• Nagios XI Network Monitor Blind SQL Injection (деталі)

В даній добірці уразливості в веб додатках:

• Arbor Networks Peakflow SP web interface XSS (деталі)
• Squiz CMS Multiple Vulnerabilities (деталі)
• Swoopo Gold Shop CMS v8.4.56 - Multiple Web Vulnerabilities (деталі)
• Webify Product Series - Multiple Web Vulnerabilities (деталі)
• News Script PHP v1.2 - Multiple Web Vulnerabilites (деталі)
• Vulnerability in Mono (деталі)
• Commentics 2.0 <= Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in web@all (деталі)
• Mybb 1.6.8 ‘announcements.php’ Sql Injection Vulnerabilitiy (деталі)
• traq-2.3.5_CSRF_XSS_SQL_INjeCTION_vulns (деталі)

В даній добірці уразливості в веб додатках:

• HP Business Availability Center (BAC) Running on Windows, Remote Cross Site Scripting (XSS) (деталі)
• Jobs Portal v3.0 NetArtMedia - Multiple Web Vulnerabilities (деталі)
• Simple Forum PHP 2.1 - SQL Injection Vulnerabilities (деталі)
• Cells Blog CMS v1.1 - Multiple Web Vulnerabilities (деталі)
• MYRE Real Estate Mobile 2012|2 - Multiple Vulnerabilities (деталі)
• HP Onboard Administrator (OA), Remote Unauthorized Access, Unauthorized Information Disclosure, Denial of Service (DoS), URL Redirection (деталі)
• Cross-Site Scripting vulnerabilities in Nagios XI < 2011R3.0 (деталі)
• SQL injection in Serendipity (деталі)
• Multiple vulnerabilities in TinyWebGallery (деталі)
• Airlock WAF overlong UTF-8 sequence bypass (деталі)

Після семи попередніх уразливостей в Akismet, ось нові дірки. У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Cross-Site Request Forgery уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це друга порція уразливостей в плагіні Akismet.

Раніше я вже писав про XSS, Redirector та FPD уразливості в WordPress.

XSS:

Якщо включена опція “Auto-delete spam submitted on posts more than a month old” і відправці спам коментарю для посту, який старше 30 діб, можлива XSS і Redirector атаки (and they can be conducted as on logged in admins and users, as on any visitors of the site). Вразливі всі версії Akismet з даним функціоналом (до версії 2.5.6).

Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для XSS в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

Атака відбувається при вищенаведених умовах. Потрібно відправити POST запит http://site/wp-comments-post.php (подібно до мого попереднього експлоіту для Redirector в коментарях) з вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

При цьому в останній версії Akismet 2.5.6 ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

CSRF:

В Akismet < 2.0.2 (WordPress < 2.0.11) взагалі не було захисту від CSRF, окрім поля введеня API key. Починаючи з версії Akismet 2.0.2 захист з'явився, але не в усьому фунціоналі.

CSRF уразливість в функції збереження конфігурації. Через POST запит до скрипта http://site/wp-admin/plugins.php ?page=akismet-key-config можна змінювати конфігурацію.

Атака спрацює лише на WP < 2.0.3 (де не було захисту від CSRF в движку) в старих версіях Akismet (таких як 2.0.2 і попередні та деяких наступних).

CSRF уразливість в функції "Check network status". При GET запиті до сторінки http://site/wp-admin/plugins.php ?page=akismet-key-config відбується запит до чотирьох серверів Akismet з кешуванням запиту.

Для відправки запитів до серверів Akismet в обхід кешування, можна відправити POST запит до цієї сторінки. При активних CSRF запитах можна створити навантаження на сервери Akismet (особливо якщо атакувати з багатьох серверів).

WordPress Akismet CSRF.html

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Reflective XSS allowing an attacker to gain session tokens (деталі)
• Interspire Shopping Cart v6 - Multiple Web Vulnerabilities (деталі)
• iScripts EasyCreate CMS v2.0 - Multiple Web Vulnerabilites (деталі)
• ADICO CMS v1.1 - Blind SQL Injection Vulnerability (деталі)
• QuickBlog v0.8 CMS - Multiple Web Vulnerabilities (деталі)
• HP-UX WBEM, Remote Unauthorized Access to Diagnostic Data (деталі)
• Boonex Dolphin v7.0.9 CMS & Mobile App - Multiple Web Vulnerabilities (деталі)
• eSyndiCat Pro v2.4.1 - Multiple Web Vulnerabilities (деталі)
• Squirrelcart Cart Shop v3.3.4 - Multiple Web Vulnerabilities (деталі)
• Swoopo Gold Shop CMS v8.4.56 - Multiple Web Vulnerabilities (деталі)

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Any logged-in user can bypass controls to reset passwords of other administrators (деталі)
• Ganesha Digital Library 4.0 Multiple Vulnerabilities (деталі)
• Social Engine Multiples Vulnerabilities (XSS and CSRF) (деталі)
• Multiple XSS in pragmaMx (деталі)
• Multiple vulnerabilities in Pligg CMS (деталі)
• McAfee Email and Web Security Appliance v5.6 - Session hijacking and bypassing client-side session timeouts (деталі)
• SQL injection in Bigware shop software (деталі)
• Arbitrary File Upload/Execution in Collabtive (деталі)
• imp4 security update (деталі)
• Nuked Klan SP CMS v4.5 - SQL injection Vulnerability (деталі)

У лютому, 23.02.2012, я знайшов Cross-Site Scripting, Redirector та Full path disclosure уразливості в плагіні Akismet для WordPress. Він є core-плагіном (починаючи з версії WP 2.0), тому ці уразливості також стосуються самого WordPress. Це перша порція уразливостей в плагіні Akismet.

Раніше я вже писав про IAA, Redirector та XSS уразливості в WordPress.

XSS:

При GET запиті до скрипта http://site/wp-admin/edit.php ?page=akismet-admin&recheckqueue=1, або http://site/wp-admin/ edit-comments.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/admin.php?action=akismet_recheck_queue (в залежності від версії, в WP 3.x використовується остання адреса).

З вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+

На веб серверах IIS редирект відбувається через заголовок Refresh, а на інших веб серверах - через заголовок Location.

Redirector (URL Redirector Abuse):

При GET запиті до скрипта http://site/wp-admin/edit.php ?page=akismet-admin&recheckqueue=1, або http://site/wp-admin/ edit-comments.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/admin.php?action=akismet_recheck_queue (в залежності від версії, в WP 3.x використовується остання адреса).

З вказанням заголовка Referer. Це можна зробити через Flash або інші методи.

Referer: http://attackers_site

В WP <= 2.0.11 (Akismet <= 2.0.2) через помилку в плагіні не працюють XSS і Redirector атаки, але вони працють з більш новими версіями плагіна в різних версіях WordPress (до 3.4).

При цьому в останній версії Akismet 2.5.6 (що постачається з WP 3.4 та 3.4.1) ці дві уразливості вже виправлені (причому приховано, без жодного згадування в readme.txt плагіна чи в анонсах WP). Схоже, що це трапилося після моєї березневої чи квітневої публікації про XSS і Redirector уразливості через редиректори в WP.

Full path disclosure:

Через вищезгадану помилку в плагіні не працюють XSS і Redirector атаки, зате має місце FPD при запиті до скрипта (в старих версіях Akismet, таких як 2.0.2).

http://site/wp-admin/edit.php?page=akismet-admin&recheckqueue=1 або http://site/wp-admin/edit-comments.php?page=akismet-admin &recheckqueue=1 (в залежності від версії WP).

Full path disclosure:

Якщо попередня FPD має місце в акаунті, то дані FPD доступні без авторизації.

http://site/wp-content/plugins/akismet/admin.php

http://site/wp-content/plugins/akismet/akismet.php

http://site/wp-content/plugins/akismet/legacy.php

http://site/wp-content/plugins/akismet/widget.php

Це одні з багатьох FPD, що існують в останніх версіях WordPress. З часом я напишу про інші FPD в WP (що я знайшов у березні, коли дослідив усі FPD в зовнішньому функціоналі движка).

Уразливі Akismet 2.5.6 та попередні версії та WordPress 2.0 - 3.4.1.

В даній добірці уразливості в веб додатках:

• McAfee Email and Web Security Appliance v5.6 - Password hashes can be recovered from a system backup and easily cracked (деталі)
• sympa security update (деталі)
• SCLIntra Enterprise SQL Injection and Authentication Bypass (деталі)
• Multiple vulnerabilities in LogAnalyzer (деталі)
• request-tracker3.8 security update (деталі)
• McAfee Email and Web Security Appliance v5.6 - Active sesssion tokens of other users are disclosed within the UI (деталі)
• request-tracker3.8 regression update (деталі)
• Mapserver for Windows (MS4W) Remote Code Execution (деталі)
• Acuity CMS 2.6.x <= Arbitrary File Upload (деталі)
• Acuity CMS 2.6.x <= Path Traversal Arbitrary File Access (деталі)

09.06.2012

Сьогодні я виявив SQL Injection та Information Leakage уразливості в LIOOSYS CMS (це польська комерційна CMS). Про що найближчим часом повідомлю розробникам системи.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

28.06.2012

SQL Injection:

http://site/index.php?id=-1%20union%20select%201,version(),3,4,5/*

Information Leakage:

http://site/_files_/db.log

Витік логу помилок запитів до БД. Це може використовуватися як для отримання даних про структу БД, так і при проведенні SQL Injection атак (тому що повідомлення про помилки не виводяться на сторінки сайта).

Як повідомили мені розробники, вони вже виправили дані уразливості в своїй CMS. Але в ній ще багато інших уразливостей.

В даній добірці уразливості в веб додатках:

• Sourcefire Defense Center - multiple vulnerabilities (деталі)
• b2ePMS 1.0 Authentication Bypass Vulnerability (деталі)
• Liferay users can assign themselves to organizations, leading to possible privilege escalation (деталі)
• Liferay 6.1 json webservices are subject to cross-site request forgery attacks (деталі)
• Liferay 6.1 can be compromised without having an account on the portal (деталі)
• McAfee Email and Web Security Appliance v5.6 - Arbitrary file download is possible with a crafted URL when logged in as any user (деталі)
• Guests can view names and emailadresses of all Liferay users in liferay 6.1 (деталі)
• Multiple xss issues in Liferay (деталі)
• Epicor Returns Management SOAP-Based Blind SQL Injection (деталі)
• ikiwiki security update (деталі)