Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:9900
HistoryOct 11, 2005 - 12:00 a.m.

Множественные уязвимости в SimpleViewerAdmin

2005-10-1100:00:00
vulners.com
14

+++++++++++++++++++++++++++++++++++++++++++++++
Множественные уязвимости в SimpleViewerAdmin
+++++++++++++++++++++++++++++++++++++++++++++++
Затронутые продукты:
SimpleViewerAdmin v1.7, возможно и более ранние
версии.
+++++++++++++++++++++++++++++++++++++++++++++++
Описание:
SimpleViewerAdmin - это административный
интерфейс для галереи SimpleViewer, написанный
на PHP.
Web:
www.redsplash.de/projects/simplevieweradmin/
+++++++++++++++++++++++++++++++++++++++++++++++
Автор: nonix
E-mail: [email protected]
+++++++++++++++++++++++++++++++++++++++++++++++
Описание уязвимостей:
1)Небезопасное хранение данных.
В папке, где установлен SimpleViewerAdmin лежит
файл SimpleViewerConfig.xml. В нём есть логин
администратора и md5 хэш его пароля.

2)Удаление галереи.
Если создать альбом, в имени которого есть символ ".", а
затем удалить этот альбом, то в папке, где установлены
скрипты останется только один файл - SimpleViewerConfig.xml

3)Удаление произвольных файлов с сервера.
Взгляните на эту часть кода в файле SimpleViewerFunctions.php:
-----------------------------code begin-----------------------------------------
// Если браузер обращается по адресу
// SimpleViewerAdmin.php?action=delete&file=image&name=[name]
// То выполняется следущий код:
// SimpleViewerAdmin.php line 483
deleteItem('image', $_GET['name']);
// А вот что происходти в скрпте
// SimpleViewerFunctions.php в
// функции deleteItem line 653
if (@unlink($_SESSION['currentDir'] . 'images/' . $name) &&
@unlink($_SESSION['currentDir'] . 'thumbs/' . $name))
-----------------------------code end-------------------------------------------
Чтобы удалить файл с сервера, нужно сделать так.
Сначала залогиниться под администратором, затем
выбрать в менюшке слева какую-нибудь галерею.
Справа появится страница с настройками галереи
и загруженными фотографиями. Эту страницу нужно
сохранить локально. Далее меняем в ней первую
попавшуюся строку вида
<form method="post" name="delimageform1" задав
в параметре action url уязвимого сайта + в переменной
name путь к удаляемому файлу относительно директории
/[album_name]/images/. Открываем сохранённую страницу
браузером и нажимаем "удалить" на первом изображении.

4)Можно сохранить на сервере изображение с произвольным
расширением. Для этого нужно, что бы файл был реальным
изображением с необходимым расширением, а его тип при
передаче через POST запрос был обозначен, как image/

5)Если на сервере не установлена библиотека GD, то можно
загружать произвольные файлы с любым расширением.
+++++++++++++++++++++++[EOF]+++++++++++++++++++++++++++