Related information

Daily web applications security vulnerabilities summary (PHP, ASP, JSP, CGI, Perl)

[DSECRG-08-041] Stored XSS Vulnerability in Xoops 2.3.x

[DSECRG-08-040] Multiple Local File Include Vulnerabilities in Xoops 2.3.x

[DSECRG-08-040] Multiple Local File Include Vulnerabilities in Xoops 2.3.x

XSS in PHPepperShop v 1.4

From:	S4aVRd0w <s4avrd0w_(at)_p0c.ru>
Date:	14.12.2008
Subject:	Эксплоит для эксплуатации уязвимости EZSA-2008-003 с активацией учетной записи

Эксплоит для эксплуатации уязвимости EZSA-2008-003 с активацией учетной
записи

Описание:
Уязвимость связана с недостаточной проверкой при регистрации нового
пользователя (/user/register). Успешная эксплуатация уязвимости позволяет
получить привилегии администратора CMS.
Уязвимости подвержены приложения ez publish начиная с версии 3.5.6.
Уязвимость устранена в версиях 3.9.5, 3.10.1, 4.0.1.

В случае, когда в приложении не настроен SMTP транспорт, письмо с кодом
активации пользователя не будет отправлено. В этом случае можно
воспользоваться еще одной уязвимостью, которая в настоящее время не
устранена во всех версиях.
Уязвимость связана с небезопасным созданием кода активации при регистрации
нового пользователя.
Уязвивый код для eZPublish 3.9.2:
...
$hash = md5( mktime( ) . $user->attribute( 'contentobject_id' ) );
...
Уязвивый код для eZPublish 4.0.1:
...
$hash = md5( time() . $user->attribute( 'contentobject_id' ) );
...

Эксплуатация последовательно двух уязвимостей, указанных выше, позволяет
получить привилегии администратора CMS без необходимости получения
подтверждения о регистрации.

Ссылки:
http://ez.no/developer/security/security_advisories/ez_publish_3_9/ezsa_2008_003_
insufficient_form_handling_made_privilege_escalation_possible

- - -

Exploit of vulnerability EZSA-2008-003 with accounting record activation.

The description:
Vulnerability is connected with insufficient check at registration of the
new user (/user/register). Successful operation of vulnerability allows to
receive administrator priviledges CMS.

Versions affected: ez publish since version 3.5.6.
Vulnerability is resolved in versions 3.9.5, 3.10.1, 4.0.1.

In a case when in the appendix it is not adjusted SMTP protocol, the letter
with a code of activation of the user will not be sent. In this case it is
possible to take advantage of one more vulnerability which is not eliminated
now in all versions.
Vulnerability is connected with unsafe creation of a code of activation at
registration of the new user.

Vulnerable code in the version 3.9.2:
...
$hash = md5( mktime( ) . $user->attribute( 'contentobject_id' ) );
...
Vulnerable code in the version 4.0.1:
...
$hash = md5( time() . $user->attribute( 'contentobject_id' ) );
...

Operation consistently two vulnerability, specified above, allows to receive
privileges of manager CMS without necessity of reception acknowledgement on
registration.

Links:
http://ez.no/developer/security/security_advisories/ez_publish_3_9/ezsa_2008_003_
insufficient_form_handling_made_privilege_escalation_possible