[خبر تازة] ثغرات متعددة XSS في ملف لوحة التحكم index.php النسخة 3.6.4

[Milad]

[خبر تازة]

ثغرات متعددة XSS في ملف لوحة التحكم index.php

vBulletin عرضة لثغرات XSS متعددة لأنه يفشل في تصحيح البيانات المدخلة من قبل المستخدم.

ويُمكن للمخترق أن ينفذ أيضاً أكواداً برمجية في المواقع المتضررة، وهذا قد يسمح للمخترق أن يسرق الكوكيز وينفذ هجمات أُخرى في الموقع.

الخبر الكامل بالإنجليزية:

VBulletin AdminCP Index.PHP Multiple Cross-Site Scripting Vulnerability



vBulletin is prone to multiple cross-site scripting vulnerabilities because it fails to sufficiently sanitize user-supplied input data.

An attacker could exploit this vulnerability to have arbitrary script code execute in the context of the affected site. This may allow an attacker to steal cookie-based authentication credentials and to launch other attacks.



Hackers Center Security Group (http://www.hackerscenter.com)
Credit: Doz


Remote: No
Local: Yes
Class: Input Validation Error


Vendor: http://www.vbulletin.com/
Vulnerable:: Admin Control Panel (vBulletin 3.6.4 )


Attackers can exploit these issues via a web client.


These Fucntions on Index.php Contail XSS.

- User Group Manager
- User Rank Manager
- User Title Manager
- BB Code Manager
- Attachment Manager
- Calendar Manager
- Forums & Moderators



Pictures: http://rapidshare.com/files/15246918/vb-xss.rar.html

بصراحة الخبر ليس واضحاً تماماً

لذلك احذروا ريثما نخبر الشركة ونحصل على الترقيع

[Abdullah Alhoshan]

لا حول ولا قوة الا بالله

ما ادري متى ننتهي من هالثغرات :eek3:

الصور تحكي ..

http://www.1www.ws/XSS/Attachment%20Manager.JPG
http://www.1www.ws/XSS/BB%20Code%20Manager.JPG
http://www.1www.ws/XSS/BB%20Plaintexed.JPG
http://www.1www.ws/XSS/Calendar%20Manager.JPG
http://www.1www.ws/XSS/Forums%20&%20Moderators.JPG
http://www.1www.ws/XSS/User%20Group%20Manager.JPG
http://www.1www.ws/XSS/User%20Rank%20Manager.JPG
http://www.1www.ws/XSS/User%20Title%20Manager.JPG
http://www.1www.ws/XSS/XSS%20Announcment.JPG
http://www.1www.ws/XSS/XSS%20New%20Forum.JPG

[كواليتي]

لاحول ولا قوة الا بالله

يعطيك ربي العافية في انتظار سد الثغرة من قبل الأخوة الافاضل

تحياتي

[Adhari.com]

حرام عليكم يا جماعة تنقلون خبر غير مؤكد ،،
الترقية للنسخة الأخيرة 3.6.4 راح تسد الثغرة ،،

الثغرة غعلاً موجودة لكن في النسخ التي قبل ذلك ..
وهذا للتأكد بأنفسكم http://www.securityfocus.com/bid/21157

تحياتـــــــــــــي ؛؛

[محمود حسين]

حرام عليكم يا جماعة تنقلون خبر غير مؤكد ،،
الترقية للنسخة الأخيرة 3.6.4 راح تسد الثغرة ،،

الثغرة غعلاً موجودة لكن في النسخ التي قبل ذلك ..
وهذا للتأكد بأنفسكم http://www.securityfocus.com/bid/21157

تحياتـــــــــــــي ؛؛

السلام عليكم ورحمة الله وبركاته

هذه الثغرة مختلفة عن الثغرات التي يتحدث عنها الآخ Milad وعددهم 8 ثغرات

وقد جربتهم بنفسي وسأقوم بطرح الترقيع لها اليوم ان شاء الله

[php ArB 4 HoST]

هذه الثغرة تم اصلاحها فى النسخة 3.6.4

راجع الموضوع : http://www.vbulletin.com/forum/showp...34&postcount=1

[محمود حسين]

هذه الثغرة تم اصلاحها فى النسخة 3.6.4

راجع الموضوع : http://www.vbulletin.com/forum/showp...34&postcount=1

يا اخي بس لا تفتي

من لوحة التحكم
جرب اضافة نوع مرفقات جديد
بالاسم

كود:

<script type="text/javascript" language="javascript">alert('hi');</script>

وشوف النتيجة

[ma3hd]

طيب لو سمحتم اخوانى الكرام....

هذه المشكلة فى لوحة التحكم و عادة معظمنا بيضع عليها جدار حماية

فلو سمحتم كيف يستطيع احد استغلالها ....طبعا لا اريد شرح لعد استغلالها

لكن هل يمكن استخدامها بالرغم من تغير مجلد الأدمن و عمل جدار له ..لأنكم تقولون انها فيه فقط....

نرجوا التوضيح

[Adhari.com]

نعم من الأدمن تستطيع طرح أي كود به HTML أو غيره ،،
فلوحة التحكم يجب أن تكون محمية من الأساس !!

وهذا رد الشركة:

Hassan,

The Devs say this is bogus. Admins are already able to use HTML for user titles, forum names, etc. There is no exploit there.

يعني مثل ما يقولون إخواننا المصريين "كله هجص" !!!

[محمود حسين]

طيب لو سمحتم اخوانى الكرام....

هذه المشكلة فى لوحة التحكم و عادة معظمنا بيضع عليها جدار حماية

فلو سمحتم كيف يستطيع احد استغلالها ....طبعا لا اريد شرح لعد استغلالها

لكن هل يمكن استخدامها بالرغم من تغير مجلد الأدمن و عمل جدار له ..لأنكم تقولون انها فيه فقط....

نرجوا التوضيح

نعم استغلالها ممكن
واليك الاحتمالات:
1- اقناع الأدمن بفتح رابط للوحة التحكم يحتوي على متغيرات ما ممررة بالطريقة GET
وطبعا طرق الاقناع كثيرة عن طريق الماسنجر او ايميل أو حتى عن طريق وضع رابط في احد مواضيع المنتدى لسكريبت يقوم بتوجيهك للوحة تحكم موقعك (طبعا ليست صعبة على اي مبرمج)
وقد جربتها بنفسي في منتداي ولكن لا استطيع وضعها هنا حتى لا تستغل بشكل سيء

2- احتمال أيضاً دخول لوحة التحكم من قبل المشرفين او المراقبين المحدد لهم صلاحيات التحكم في الاعضاء مثلا أو الموضوعات

[ma3hd]

مثل ما قال اخوى الكريم

Adhari.com

و بالنسبة للرد عليك اخوى الكريم mahmoud009

بالنسبة للطريقة فأعتقد وصلتى لى خلاص و كيفية استغلالها .....

اما بالنسبة لموضوع ال get فلا تحتاج مبرمج....اعتقد يعنى اى واحد يعمل بال php او حتى الهتمل يعرفها جيدا...كلنا نستخدمها كل يوم فى محركات البحث.....

عموما شكرا على التحذير ...

و نصيحة مؤقته ....و هذه توضح نوعا ما الطريقة اللى ممكن يستغلها ..(ذكرها اعتقد تحذير فقط)

لو حاول احد وضع رابط لتقوم للدخول الى لوحة تحكم منتداك مباشرة الى مثلا التحكم فى المرفقات ....يعنى بداخل admincp او تحكم اخر فى modcp

فببساطة قولة يرشدك الى الطريق ....يعنى من لوحة تحكم منتداك ثم خيارات المرفقات ثم اضافة مرفق جديد....الخ....

و هذا لتجنب توضحي الأخ محمود ....

لأن هناك بعض البرامج لن اذكر حتى اسمها ...تستطيع تشفير الرابط ....و يعطيك اياها المخترق و يقولك لا هذا رابط ..متفبرك....و ياعينى لما تضعه تلاقي انك دخلت الى مبتغاه و بدون ما تدرى ما فى الرابط....و للأسف البرنامج موجود و صغير الحجم...

ما علينا ......شككوا ياجماعه فى الروابط و خصوصا لو تدخلون بها الى لوحة التحكم و خذوا الخطوات واحده واحده للوصول الى مبتغاكم

اخوكم فى الله

المعهد العربي

[X-Files]

السلام عليكم جميعا ً

بارك الله فيك اخوي على التنبيه الجديد
بس عندي بعض الملاحظات

الكل منا يعرف ان كثير من اكواد html و javascript يمكن تنفيذها من لوحة التحكم
وهذا الشيء تعمدت الشركه وضعه
لان الصلاحية مفتوحة للآدمن

وبكذا يكون لدى الآدمن اللعب زي ما يبغى في منتداه

اما بالنسبة للي تقولون يشفر الرابط ويرسله له
هنا مربط الفرس

أولا عليك الحذر ككونك صاحب منتدى وتخاف على منتداك من الاختراق
اذا عجبك الرابط وعرف وش مضمونه أو كنت واثق في الشخص افتح الرابط
غير كذا خلك ذكي ولا تفتحه

راح يكون عندك وبالتأكيد جدار ناري للوحة التحكم
تقدر من خلاله تحمي لوحة التحكم من الدخول.

نأتي للحل الأخير واللي أنا لست متأكد منه
اعتقد انه في بعض الخصائص في السيرفرات تقوم بعملية جدا ً رائعه
ألا وهي
منع دالة POST و GET من النفاذ إذا لم تكن من خلال نفس السيرفر
وبكذا نحمي المنتديات ليس من هذه الثغرة فقط
بل من ثغرات كثيرة
وأنا جربتها في أحد المنتديات
وظهر لي رسالة
تقول بمعنى مقارب :
لا يمكنك استخدام دالة POST من خارج نطاق الدومين
وتعجبت وقتها وعجبتني الفكرة

تعديل بسيط : جبت لكم الجملة اللي اقول لكم عجبتني :
In order to accept POST request originating from this domain, the admin must add this domain to the whitelist.

وبكذا نكون ان شاء الله في امان من مثل هذه الثغرات
هذا ولكم الشكر والعرفان

أخوكم
أبو عبدالعزيز
www.5kk5.com

[فارس قطر]

يا اخي بس لا تفتي

من لوحة التحكم
جرب اضافة نوع مرفقات جديد
بالاسم

كود:

<script type="text/javascript" language="javascript">alert('hi');</script>

وشوف النتيجة

اخوي انا جربت الكود الي انت قلت عليه
وياليتني ماجربته والله
اخوي اختفت جميع صيغ المرفقات المسموحه
وماعرف كيف اردها !!
ممكن اتساعدني اخوي
هذا مثال

http://www.ql3at-qatar.com/11111.gif

تكفى اخوي طالبك توهقت والله ماعرف كيف اردهم

[فارس قطر]

لاحظت انا بعد استعمال الكود الي قال لنا الاخ mahmoud009 انجربه
ان في اشياء وايد توقفت عن العمل
مثال

http://www.ql3at-qatar.com/11111.gif

ولاكن المشكله ماعرف كيفية استرجاعه نفس ماكان !!

وهذا هو الكود اخوي في المرفقات
حطه في الفرونت بيج وبتعرف

وانا ابي حل حق مشكلتي

[Milad]

الشركة بعد مراسلة الشركة

قالوا أنهم يمنحون الأدمن صلاحيات إضافة اكواد html في اماكن عديدة في المنتدى من خلال لوحة التحكم

ولن يقوموا بالترقيع لانها تعمل كما هو مقرر لها ان تعمل !!!

وهذه ميزة للمدراء !!

http://www.vbulletin.com/issue.php?t...hcode=73a3240a