Websecurity - Веб безпека

14.04.2012

Ще 27.09.2006 я знайшов Cross-Site Scripting та Full path disclosure уразливості в плагіні Organizer для WordPress (одразу як почав ним користуватися). Але довго відкладав публікацію інформації про дані уразливості. Це перша порція уразливостей в плагіні Organizer. Про що найближчим часом повідомлю розробникам плагіна.

Стосовно уразливостей в плагінах для WP раніше я писав про уразливості в Register Plus Redux для WordPress.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам.

21.04.2012

XSS:

http://site/wp-admin/admin.php?page=organizer/page/users.php&delete_id=%3Cscript%3Ealert(document.cookie)%3C/script%3E

XSS (Persistent):

POST запит на сторінці http://site/wp-admin/admin.php? page=organizer/page/users.php в полі “File extensions allowed”. Код виконається на сторінці users.php плагіна.

Organizer XSS-1.html

FPD:

http://site/wp-content/plugins/organizer/plugin_hook.php

http://site/wp-content/plugins/organizer/page/index.php

http://site/wp-content/plugins/organizer/page/dir.php

http://site/wp-content/plugins/organizer/page/options.php

http://site/wp-content/plugins/organizer/page/resize.php

http://site/wp-content/plugins/organizer/page/upload.php

http://site/wp-content/plugins/organizer/page/users.php

http://site/wp-content/plugins/organizer/page/view.php

Уразливі Organizer 1.2.1 та попередні версії.

Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив. Тому користувачам даного плагіна потрібно буде власноруч виправляти всі уразливості.

В даній добірці уразливості в веб додатках:

• Oracle Exadata Infiniband Switch default logins and world readable shadow file (деталі)
• CMS wizard Cross Site Scripting (деталі)
• F*EX (Frams’s Fast File EXchange) Cross Site Scripting Vulnerability (деталі)
• Aurora WebOPAC SQL Injection (деталі)
• XSS (CROSS SITE SCRIPTING VULNERABILITIES) (ZAPHOD BREEBLEBROX’S BLOCKER A.K.A. ZB BLOCK) (деталі)
• APPLE-SA-2012-03-07-2 iOS 5.1 Software Update (деталі)
• phpMyVisites 2.4 XSS (деталі)
• XWeavers (sysMsg.php?errMsg) Cross Site Scripting Vulnerabilities (деталі)
• Arte Dude (collections.php?id) (property.php?id) Remote SQL injection Vulnerability (деталі)
• Web Design Sydney (news-item.php?id) (news-item.php?newsid) Remote SQL injection Vulnerability (деталі)

Ще 18.04.2008 я знайшов Insufficient Authorization, Cross-Site Request Forgery та Full path disclosure уразливості в плагіні Organizer для WordPress. Але довго відкладав публікацію інформації про дані уразливості. Це третя порція уразливостей в плагіні Organizer. Як заявив мені розробник плагіна, він більше не підтримує цей плагін і не буде виправляти численні уразливості в ньому, про які я повідомив.

Раніше я писав про уразливості в Organizer для WordPress.

Insufficient Authorization:

Доступ до users.php та виконання всіх операцій дозволено будь-яким користувачам системи (навіть Subscriber).

http://site/wp-admin/admin.php?page=organizer/page/users.php

Можливий перегляд налаштувань, додавання, редагування та видалення налаштувань користувачів. Зокрема будь-який користувач (той же Subscriber) зможе задати, в тому числі для свого акаунту, дозволені розширення для завантаження файлів, наприклад, php.

В тому числі непривілегійований користувач може проводити Persistent XSS атаки на адміна (через дві раніше згадані Persistent XSS дірки). А також дана уразливість дозволяє проводити CSRF атаки (для зміни налаштувань) не тільки на адміна, а на будь-якого залогіненого користувача.

CSRF:

Увесь фунціонал плагіна вразливий до CSRF атак. Окрім раніше загадних CSRF в скрипті users.php, наприклад, в скрипті dir.php через CSRF можна створювати, переіменовувати та видаляти директорії (переіменовувати та видаляти можна лише пусті директорії). Для цього потрібно відправити три відповідних POST запити.

http://site/wp-admin/admin.php?page=organizer/page/dir.php

А в скрипті view.php через CSRF можна переіменовувати, копіювати та видаляти завантажені файли. Для цього потрібно відправити три відповідних POST запити.

http://site/wordpress/wp-admin/admin.php?page=organizer/page/view.php

FPD:

Скрипт http://site/wordpress/wp-admin/admin.php?page=organizer /page/view.php має вбудований функціонал (і уразливість) - виведення повного шляху на сервері.

Уразливі Organizer 1.2.1 та попередні версії.

В даній добірці уразливості в веб додатках:

• Cisco Unified Communications Manager Skinny Client Control Protocol Vulnerabilities (деталі)
• Multiple vulnerabilities in LEPTON (деталі)
• Multiple critical vulnerabilities in VOXTRONIC voxlog professional (деталі)
• SQL Injection Vulnerabilities in TestLink (деталі)
• Pandora FMS v4.0.1 - Local File Include Vulnerability + VD Session (деталі)
• Multiple Vulnerabilities in Cisco Wireless LAN Controllers (деталі)
• WebsiteBaker 2.8.2 SP2 HTTP-Referer XSS vulnerability (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
• Dolphin 7.0.7 <= Multiple Cross Site Scripting Vulnerabilities (деталі)
• OxWall 1.1.1 <= Multiple Cross Site Scripting Vulnerabilities (деталі)

Ще 30.08.2007 я знайшов Full path disclosure уразливості, а сьогодні ще нові Full path disclosure та Cross-Site Scripting уразливості, на сайтах blog.meta.ua та market.auto.meta.ua. Як я вже розповідав, після останнього разу, коли вони відповіли мені дуже несерйозним чином, я більше не сповіщаю Мету про дірки на їхніх сайтах.

Останнього разу стосовно проектів компанії Мета я писав про уразливості на map.meta.ua.

Full path disclosure:

30.08.2007 мною були знайдені численні FPD на різних сайтах Мети, зокрема на blog.meta.ua. При цьому самі FPD на цих сайтах адміни Мети вже прибрали, але в кеші Гугла вони добре збереглися (зараз ясна річ тих FPD в кеші вже немає, зате є нові).

http://blog.meta.ua/ajax/fastenPost.php

/mnt/di1/apache/htdocs/weblog/ajax/fastenPost.php

А також на сторінці http://blog.meta.ua/ajax/addposttoc.php та багатьох інших сторінках сайта blog.meta.ua. А сьогодні я знайшов чергові FPD дірки, цього разу на market.auto.meta.ua. І знову на сайті вони вже прибрані, але в кеші Гугла (в коді сторінки) від 01.04.2012 вони все ще є.

Уразливості мають місце на сторінці http://market.auto.meta.ua/ua/
igrovi-prystavky/7611665-0/sony-playstation-2-black/ та інших сторінках сайта market.auto.meta.ua.

XSS (для Mozilla та Firefox):

• alert(document.cookie)
• цікавий

Уразливості на сайтах Мети, зокрема такі як витоки інформації, навіть якщо адміни з часом їх приховають, все рівно стають доступними для всіх бажаючих у кешах пошуковців. А дана XSS досі висіть на сайті на протязі всього часу роботи цього сайта. І це є типовим явищем для сайтів Мети, що добре видно з тих багатьох дірок на багатьох сайтах Мети про які я розповідав раніше.

В даній добірці уразливості в веб додатках:

• Apache CXF does not validate UsernameToken policies correctly (деталі)
• SQL Injection Vulnerability in Batavi 1.1.2 (деталі)
• eFronts Community++ v3.6.10 - Cross Site Vulnerability (деталі)
• Cyberoam Central Console v2.00.2 - File Include Vulnerability (деталі)
• Multiple vulnerabilities in ZENphoto (деталі)
• Multiple Vulnerabilities in Cisco Unity Connection (деталі)
• sqlinjection bug in nova cms (деталі)
• eFront Community++ v3.6.10 - SQL Injection Vulnerability (деталі)
• ME Monitoring Manager v9.x; v10.x - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in 11in1 (деталі)

В даній добірці уразливості в веб додатках:

• Denial of Service in libxslt, as used in Google Chrome before 17.0.963.46 (деталі)
• Multiple vulnerabilities in OSclass (деталі)
• Mibew messenger multiple XSS (деталі)
• Multiple vulnerabilities in postfixadmin (деталі)
• Multiple vulnerabilities in OSClass (деталі)
• Out-of-bounds read in libxslt (деталі)
• Security advisory for Bugzilla 4.2rc2, 4.0.4, 3.6.8 and 3.4.14 (деталі)
• Multiple vulnerabilities in OpenEMR (деталі)
• XSS phpLDAPadmin: 1.2.0.5 (Debian package) and 1.2.2 (sourceforge) (деталі)
• SimpleGroupware 0.742 Cross-Site-Scripting vulnerability (деталі)

В даній добірці уразливості в веб додатках:

• RSA SecurID Software Token Converter buffer overflow vulnerability (деталі)
• Kloxo LxCenter Server CP v6.1.10 - Multiple Web Vulnerabilities (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
• File Inclusion vulnerability in GLPI (деталі)
• Multiple Vulnerabilities in ELBA5 (деталі)
• Vulnerability in libxml2 (деталі)
• SolarWinds Storage Manager Server SQL Injection Authentication Bypass (деталі)
• Bart’s CMS - SQL Injection Vulnerability (деталі)
• SQL injection in Bigware shop software (деталі)
• CSRF (Cross-Site Request Forgery) in DClassifieds (деталі)

В даній добірці уразливості в веб додатках:

• Mozilla Foundation Security Advisory 2012-11 (libpng integer overflow) (деталі)
• Family Connections 2.7.2 Multiple XSS (деталі)
• XSS in OneOrZero AIMS (деталі)
• appRain CMF <= 0.1.5 (uploadify.php) Unrestricted File Upload Vulnerability (деталі)
• Webcalendar 1.2.4 ‘location’ XSS (деталі)
• Apache MyFaces information disclosure vulnerability (деталі)
• eFront Community++ v3.6.10 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - File Include Vulnerabilities (деталі)
• OnxShop CMS v1.5.0 - Multiple Web Vulnerabilities (деталі)
• Dolibarr CMS v3.2.0 Alpha - SQL Injection Vulnerabilities (деталі)

В лютому була виявлена та оприлюднена у березні SQL Injection уразливість (обмежена до Information Leakage) в WordPress. А також цікава можливість виявлення кількості користувачів на сайті (через той же вразливий функціонал). Вони були знайдені HauntIT.

Раніше я вже писав про DoS уразливість в WordPress.

SQL Injection (Information Leakage):

Дана уразливість в profile.php в параметрі user_id дозволяє зареєстрованому користувачу з правами Subscriber та вище провести SQL Injection атаку. Вона обмежена лише можливістю отримати імена користувачів в системі, тобто це Information Leakage.

• WordPress 3.3.1 Post-Auth SQL Injection (деталі)
• WordPress 3.3.1 User Count Enumeration (деталі)

Уразливі WordPress 3.3.1 та попередні версії.