Inclusione di file arbitrari in Xoops
05/24/2006
 
E' stata riscontrata una vulnerabilità in Xoops che potrebbe essere sfruttata da un utente remoto per accedere ad informazioni sensibili, e potenzialmente compromettere un sistema vulnerabile.

La falla è dovuta al fatto che l'input passato al parametro array 'xoopsConfig', quando il parametro 'xoopsOption[nocommon] è definito, non viene validato correttamente prima di essere utilizzato per l'inclusione di un file. Manipolando opportunamente il valore dei suddetti parametri è possibile accedere al contenuto di file arbitrari presenti sul sistema affetto.

Esempi:
http://[host]/misc.php?xoopsOption[nocommon]=1&xoopsConfig[language]=[file]%00
http://[host]/index.php?xoopsOption[nocommon]=1&xoopsConfig[theme_set]=[file]%00

L'exploitazione della falla richiede che 'register_globals' sia abilitato, e che 'magic_quotes_gpc' sia disabilitato.

La falla può essere ulteriormente sfruttata per eseguire codice PHP arbitrario inserendo questo nei web log di Apache, o in un'immagine avatar uploadata (ciò richiede che il supporto per l'upload degli avatar sia abilitato , e che il nome del file uploadato sia conosciuto.)

Le vulnerabilità sono state riscontrate nella versioni 2.0.13.2 e precedenti.

Soluzione:
Applicare la patch disponibile al seguente indirizzo:
http://www.xoops.org/modules/news/article.php?storyid=3112

Riferimenti:
http://milw0rm.com/exploits/1811
http://secunia.com/advisories/20176/

 
 

Home Page