Vulnerabilità modulo News v1.63 per Xoops

Vulnerabilità Modulo News per Xoops

Vulnerabilità Xoops modulo news

Il modulo news (La versione più aggiornata è la 1.63) per la gestione dei contenuti in Xoops è vulnerabile a XSS e CSRF.

Il modulo news, mette a disposizione un form per l’invio di nuovi post e di nuovi topic di sezione; sono entrambi vulnerabili a CSRF in quanto non protetti da alcun token di sessione.

Inoltre, il modulo news non effettua nessun escaping con l’editor DHTML ed è possibile inserire tag html, compreso <script>, <link> ecc.., quindi è possibile fare in modo che venga postato del codice javascript ad insaputa dell’autore e questo ha miliardi di applicazioni. Impostare un editor diverso da DHTML non servirebbe a molto in quanto è possibile modificare il tipo di editor con una semplce richiesta cross site.

PoC

Scaricate ed installate l’ultima versione di Xoops e del suddetto modulo News

http://localhost/xoops-2.3.3/htdocs/modules/news/admin/index.php?op=newarticle è l’url che vi fa raggiungere direttamente il form in questione, vi basta copiare l’html del form e correggere il tag <textarea> che viene espresso come <textarea />, questo comporta che il restante codice html che includerete sarà interpretato come testo della <textarea>, mentre utilizzando <textarea></textarea> ciò non accade. Salvate il form che avete copiato , oppure prendete il mio e apritelo con il browser.

Sarete persino in grado di fare l’upload di un file che volete voi (sempre che sia tra i tipi MIME accettati dal server e da xoops).

Per metterci una pezza, installate il modulo protector, che trovate anche nel sito di xoops e magari provate qualche altro modulo per la gestione dei contenuti (se proprio non potete fare a meno di utilizzare xoops, che dopotutto è un buon cms)

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...