Множественные уязвимости в SimpleViewerAdmin

2005-10-11T00:00:00
ID SECURITYVULNS:DOC:9900
Type securityvulns
Reporter Securityvulns
Modified 2005-10-11T00:00:00

Description

+++++++++++++++++++++++++++++++++++++++++++++++ Множественные уязвимости в SimpleViewerAdmin +++++++++++++++++++++++++++++++++++++++++++++++ Затронутые продукты: SimpleViewerAdmin v1.7, возможно и более ранние версии. +++++++++++++++++++++++++++++++++++++++++++++++ Описание: SimpleViewerAdmin - это административный интерфейс для галереи SimpleViewer, написанный на PHP. Web: www.redsplash.de/projects/simplevieweradmin/ +++++++++++++++++++++++++++++++++++++++++++++++ Автор: nonix E-mail: nonix.diman@gmail.com +++++++++++++++++++++++++++++++++++++++++++++++ Описание уязвимостей: 1)Небезопасное хранение данных. В папке, где установлен SimpleViewerAdmin лежит файл SimpleViewerConfig.xml. В нём есть логин администратора и md5 хэш его пароля.

2)Удаление галереи. Если создать альбом, в имени которого есть символ ".", а затем удалить этот альбом, то в папке, где установлены скрипты останется только один файл - SimpleViewerConfig.xml

3)Удаление произвольных файлов с сервера. Взгляните на эту часть кода в файле SimpleViewerFunctions.php: -----------------------------code begin----------------------------------------- // Если браузер обращается по адресу // SimpleViewerAdmin.php?action=delete&file=image&name=[name] // То выполняется следущий код: // SimpleViewerAdmin.php line 483 deleteItem('image', $_GET['name']); // А вот что происходти в скрпте // SimpleViewerFunctions.php в // функции deleteItem line 653 if (@unlink($_SESSION['currentDir'] . 'images/' . $name) && @unlink($_SESSION['currentDir'] . 'thumbs/' . $name)) -----------------------------code end------------------------------------------- Чтобы удалить файл с сервера, нужно сделать так. Сначала залогиниться под администратором, затем выбрать в менюшке слева какую-нибудь галерею. Справа появится страница с настройками галереи и загруженными фотографиями. Эту страницу нужно сохранить локально. Далее меняем в ней первую попавшуюся строку вида <form method="post" name="delimageform1" задав в параметре action url уязвимого сайта + в переменной name путь к удаляемому файлу относительно директории /[album_name]/images/. Открываем сохранённую страницу браузером и нажимаем "удалить" на первом изображении.

4)Можно сохранить на сервере изображение с произвольным расширением. Для этого нужно, что бы файл был реальным изображением с необходимым расширением, а его тип при передаче через POST запрос был обозначен, как image/

5)Если на сервере не установлена библиотека GD, то можно загружать произвольные файлы с любым расширением. +++++++++++++++++++++++[EOF]+++++++++++++++++++++++++++