PT-2010-11: Выполнение произвольного PHP кода в IrisvisiaCMS

     (PT-2010-011) Уведомление безопасности Positive Technologies

            Выполнение произвольного PHP кода в IrisvisiaCMS

Уязвимое ПО

IrisvisiaCMS

Ссылка на приложение:http://www.irisvisia.com/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Выполнение произвольного PHP кода
Вектор атаки: Удаленный

CVSS v2:
Base Score: 10.0
Temporal Score: 9.0
Vector: (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:P/RL:U/RC:C)

CVE:   отсутствует

Описание программного обеспечения

IrisvisiaCMS– система управления содержанием.

Описание уязвимости

Positive Technologies Research Team обнаружили уязвимость загрузки произвольных файлов в Irisvisia CMS.

Уязвимость обнаружена в скрипте read.php модуля mod_xls. Данный модуль входит в поставку CMS для работы администратора веб-сайта с  файлами XLS, его функционал расчитан на чтение и передачу файлов XLS.

Уязвимость состоит в том что модуль mod_xml доступен злоумышленнику в обход аутентификации и позволяет загружать файлы любого типа.

Нападение может использоваться для следующих целей:
1. Получить доступ к данным, которые обычно недоступны, получить данные конфигурации системы, которые могут использоваться для дальнейших нападений.
2. Получить доступ к компьютерам организации, через компьютер, на котором находится веб сайт на базе Irisvisia CMS.

Решение

Cпециалисты нашей компании рекомендуют доработать алгоритм проверки данных поступающих от пользователя на наличие специальных символов.

Статус уведомления

09.11.2010 - Попытка связаться с производителем. Нет ответа.
31.01.2011 - Разглашение уязвимости

Благодарности

Уязвимость обнаружил Юрий Гольцев, Positive Technologies Research Team

Ссылки

http://www.securitylab.ru/lab/PT-2010-11
http://www.ptsecurity.ru/advisory.asp

Список отчетов о ранее обнаруженных уязвимостях Positive Technologies Research Team:

http://www.securitylab.ru/lab/
http://www.ptsecurity.ru/advisory.asp

О Positive Technologies

Positive Technologies www.ptsecurity.ru - одна из ведущих российских компаний в области информационной безопасности.

Основные направления деятельности компании - разработка систем комплексного мониторинга информационной безопасности (XSpider, MaxPatrol); предоставление консалтинговых и сервисных услуг в области информационной безопасности; развитие специализированного портала Securitylab.ru.

Заказчиками Positive Technologies являются более 40 государственных учреждений, более 50 банков и финансовых структур, 20 телекоммуникационных компаний, более 40 промышленных предприятий, компании ИТ-индустрии, сервисные и ритейловые компании России, стран СНГ, Балтии, а также Великобритании, Германии, Голландии, Израиля, Ирана, Китая, Мексики, США, Таиланда, Турции, Эквадора, ЮАР, Японии.

Positive Technologies - это команда высококвалифицированных разработчиков, консультантов и экспертов, которые обладают большим практическим опытом, имеют профессиональные звания и сертификаты, являются членами международных организаций и активно участвуют в развитии отрасли.