XSS и BF уязвимости в Drupal

2011-06-29T00:00:00
ID SECURITYVULNS:DOC:26588
Type securityvulns
Reporter Securityvulns
Modified 2011-06-29T00:00:00

Description

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Cross-Site Scripting и Brute Force уязвимостях в Drupal.

XSS (WASC-08):

На страницах с формами (например на странице комментария http://site/comment/reply/1, как формах добавления, так и редактирования данных), которые защищены токеном от CSRF, возможна reflected XSS атака. Причём без необходимости знания form_token. Атака осуществляется на любые формы с включенным FCKeditor/CKEditor (которые весьма распространены на сайтах на Drupal). Подобная атака может быть осуществлена и на формы с TinyMCE - о подобных уязвимостях в PHP-Nuke через TinyMCE я уже писал (http://websecurity.com.ua/4842/).

Если это форма редактирования данных, то атака может быть проведена только на залогиненого пользователя сайта, который является владельцем данного аккаунта (кто разместил данный комментарий и т.д.), или админа сайта. А если форма добавления данных (например комментария), то можно проводить атаки на админа и любых залогиненных пользователей сайта. Атакующий код может быть в параметре comment, body или другом, в зависимости от формы.

http://websecurity.com.ua/uploads/2011/Drupal%20XSS.html

Brute Force (WASC-11):

В форме логина в боковой панели, которая размещена на любых внешних страницах сайта (http://site/node), не реализована надёжная защита от подбора пароля. В самом Drupal капчи нет, а существующий Captcha модуль (а также все плагины к нему, такие как reCAPTCHA) являются уязвимыми, как я уже писал (http://websecurity.com.ua/4763/). Эксплоит отличается от предыдущей BF: если в предыдущей Brute Force уязвимости form_id равен user_login, то в данной - form_id равен user_login_block.

Уязвимы Drupal 6.22 и предыдущие версии. Учитывая, что разработчики не исправили данные уязвимости, то версии 7.x также должны быть уязвимыми.

Дополнительная информация о данных уязвимостях у меня на сайте: http://websecurity.com.ua/5077/

Best wishes & regards, MustLive Администратор сайта http://websecurity.com.ua