XSS и AoF уязвимости в Drupal

2011-06-27T00:00:00
ID SECURITYVULNS:DOC:26584
Type securityvulns
Reporter Securityvulns
Modified 2011-06-27T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Abuse of Functionality уязвимостях в Drupal.

XSS (WASC-08):

При добавлении или изменении данных в любых внутренних формах (добавление/изменение поста и т.д.) можно провести persistent XSS атаку. XSS код выполнится при посещении страницы редактирования (изменение поста и т.д.). Атака осуществляется на любые формы с включенным FCKeditor/CKEditor (которые весьма распространены на сайтах на Drupal). Подобная атака может быть осуществлена и на формы с TinyMCE - о подобных уязвимостях в PHP-Nuke через TinyMCE я уже писал (http://websecurity.com.ua/4842/).

Для атаки нужно в поле формы в режиме "Source" указать: <img onerror="alert(document.cookie)" src="1" />

Также можно отправить POST запрос с токеном и атакующим кодом в параметре body.

Атака может быть проведена только на залогиненого пользователя сайта, который является владельцем данного аккаунта, или админа сайта. Т.е. или пользователь сам сохранит атакующий код и заманит на эту страницу админа, или, с учётом анти-CSRF защиты, через reflected XSS уязвимость будет получен токен и на пользователя или админа будет проведена persistent XSS атака.

Abuse of Functionality (WASC-42):

При специальном запросе к поиску по пользователям можно определить логины всех пользователей на сайте.

http://site/search/user/%25 http://site/search/user_search/%25

В rss-фидах сайта, в частности в основном rss-фиде (http://site/rss.xml) можно определить логины пользователей на сайте, материалы которых выводятся в данном фиде.

Уязвимы Drupal 6.22 и предыдущие версии. Учитывая, что разработчики не исправили данные уязвимости, то версии 7.x также должны быть уязвимыми.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/5074/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua