Уязвимости в Drupal

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Full path disclosure и Insufficient
Anti-automation уязвимостях в Drupal.

Full path disclosure (WASC-13):

При POST запросе к странице с формой с использованием кириллического
символа, выводится сообщение про ошибку, в котором выводится полный путь в
системе.

Уязвимости имеют место на страницах: http://site/user/,
http://site/user/1/edit, http://site/user/password,
http://site/user/register, http://site/contact, http://site/user/1/contact.
Другие страницы, содержащие формы, также могут быть уязвимыми.

Эксплоит:

http://websecurity.com.ua/uploads/2011/Drupal%20Full%20path%20disclosure.html

Как заметили разработчики Drupal, данные уязвимости возникают через
включение опции дебагинга в админке. Поэтому для предотвращения этих и других
FPD на сайте нужно отключить эту опцию.

Insufficient Anti-automation (WASC-21):

В разных формах на сайте используется уязвимая капча. Для обхода капчи нужно
указать корректное значение captcha_sid и одно и тоже самое значение капчи.
Данный метод обхода капч описан у меня в проекте Month of Bugs in Captchas
(http://websecurity.com.ua/1498/). Атака возможна пока активно данное
значение captcha_sid.

Уязвимости имеют место на страницах с формами: http://site/contact,
http://site/user/1/contact, http://site/user/password и
http://site/user/register. Другие формы, где используется капча, также будут
уязвимыми.

Учитывая, что Captcha модуль для Drupal является сторонним модулем, то
Insufficient Anti-automation уязвимость есть как в Captcha модуле (обход
капчи), так и в самом Друпале (отсутствие капчи).

Эксплоит:

http://websecurity.com.ua/uploads/2011/Drupal%20CAPTCHA%20bypass.html

Уязвимы Drupal 6.20 и предыдущие версии. Уязвимы версии Captcha модуля до
6.x-2.3 и 7.x-1.0.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/4749/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua