Lucene search

K
securityvulnsSecurityvulnsSECURITYVULNS:DOC:25754
HistoryFeb 22, 2011 - 12:00 a.m.

Abuse of Functionality уязвимости в Drupal

2011-02-2200:00:00
vulners.com
15

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною Abuse of Functionality
уязвимостях в Drupal.

Abuse of Functionality (WASC-42):

В системе используется ненадёжный механизм смены
пароля. В профиле пользователя (http://site/user/1/edit)
можно сменить пароль без знания текущего пароля. И хотя
в форме существует защита от CSRF, это не защитит от
Abuse of Functionality.

Потому что с использованием XSS уязвимости можно обойти
данную защиту и провести удалённую атаку для смены
пароля (в том числе и администратора). Или же при
похищении сессии через XSS можно зайти в аккаунт и
сменить пароль. Или же это можно сделать при временном
доступе к компьютеру пользователя, с которого он зашёл в
свой аккаунт.

Abuse of Functionality (WASC-42):

Кроме двух ранее упомянутых методов
(http://websecurity.com.ua/4763/), существуют следующие
методы определения логинов пользователей.

На форуме (http://site/forum) выводятся логины
пользователей сайта, которые запостили на форуме
(открыли тему или написали комментарий).

В разделе Последние публикации (http://site/tracker) на
страницах "Все последние публикации" и "Мои публикации"
выводятся логины пользователей сайта, которые написали
записи на сайте. Атаку можно провести лишь будучи
залогиненым на сайте.

В записях блога (http://site/content/post), а также в
комментариях к записям блогов и другим страницам сайта
(http://site/page) выводятся логины пользователей сайта,
которые сделали запись в блоге или написали комментарий.

В форме восстановления пароля
(http://site/user/password) можно выявлять логины и
емайлы пользователей сайта. Если отправить неверный
логин или емайл то выведется сообщение "Sorry, … is
not recognized as a user name or an e-mail address", а
если отправить верный логин или емайл, то это сообщение
не выведется.

Уязвимы Drupal 6.20 и предыдущие версии.

Дополнительная информация о данных уязвимостях у меня
на сайте:
http://websecurity.com.ua/4776/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua