WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hệ quản trị nội dung Microweber dính lỗi nghiêm trọng làm rò rỉ mật khẩu quản trị viên
Một lỗ hổng nghiêm trọng trong hệ quản trị nội dung (CMS) nguồn mở Microweber đã làm rò rỉ thông tin dễ bẻ khóa của quản trị viên và rất nhiều thông tin người dùng khác.
Mật khẩu được sử dụng để có quyền truy cập vào CMS được băm bằng bcrypt nhưng “các hàm băm này có thể bẻ khóa với Hashcat theo cấu hình mặc định, khiến kẻ tấn công có thể lấy được mật khẩu quản trị viên”, Rhino Security Labs, một công ty kiểm thử có trụ sở tại Seattle, cho biết.
Các quản trị viên web được khuyến cáo cập nhật các bản dựng Microweber lên phiên bản đã vá lỗi càng sớm càng tốt.
Microweber đã được tải xuống hơn 71.000 lần [liên kết không phải HTTPS] kể từ khi ra mắt vào năm 2015.
Đây là một lỗ hổng xác thực trước (CVE-2020-13405), được tìm thấy trong tập lệnh controller.php mà theo một nhà phát triển Microweber là phần còn sót lại từ những ngày đầu phát triển Microweber. Tập lệnh này chạy chức năng “dump and die” của khung web PHP Laravel trên cơ sở dữ liệu người dùng, in toàn bộ nội dung PHP thành HTML trước khi tạm dừng thực thi tập lệnh.
Lỗi có thể được khai thác mà không cần xác thực bằng cách gửi mô-đun yêu cầu POST module=/modules/users/controller đến điểm cuối /modules/. Điều này thực thi tập lệnh controller.php, tạo ra toàn bộ cơ sở dữ liệu người dùng trong phản hồi.
Các tập lệnh PHP được sử dụng để cung cấp cho các quản trị viên web khả năng tùy chỉnh CMS, bằng cách cắm vào các tập lệnh của riêng họ hoặc sửa đổi các tập lệnh hiện có. Họ có thể sử dụng các mô-đun có sẵn hoặc tự viết để thực hiện các chức năng bao gồm nhúng Tweets hoặc thêm tiện ích tìm kiếm.
Rhino Security Labs đã tiết lộ lỗ hổng cho Microweber vào ngày 27/4. Các nhà phát triển Microweber đã xác nhận lỗ hổng vào ngày 22/5 và phát hành Microweber 1.1.20, loại bỏ controller.php khỏi mã nguồn vào ngày 22/6.
Mật khẩu được sử dụng để có quyền truy cập vào CMS được băm bằng bcrypt nhưng “các hàm băm này có thể bẻ khóa với Hashcat theo cấu hình mặc định, khiến kẻ tấn công có thể lấy được mật khẩu quản trị viên”, Rhino Security Labs, một công ty kiểm thử có trụ sở tại Seattle, cho biết.
Các quản trị viên web được khuyến cáo cập nhật các bản dựng Microweber lên phiên bản đã vá lỗi càng sớm càng tốt.
Microweber đã được tải xuống hơn 71.000 lần [liên kết không phải HTTPS] kể từ khi ra mắt vào năm 2015.
Đây là một lỗ hổng xác thực trước (CVE-2020-13405), được tìm thấy trong tập lệnh controller.php mà theo một nhà phát triển Microweber là phần còn sót lại từ những ngày đầu phát triển Microweber. Tập lệnh này chạy chức năng “dump and die” của khung web PHP Laravel trên cơ sở dữ liệu người dùng, in toàn bộ nội dung PHP thành HTML trước khi tạm dừng thực thi tập lệnh.
Lỗi có thể được khai thác mà không cần xác thực bằng cách gửi mô-đun yêu cầu POST module=/modules/users/controller đến điểm cuối /modules/. Điều này thực thi tập lệnh controller.php, tạo ra toàn bộ cơ sở dữ liệu người dùng trong phản hồi.
Các tập lệnh PHP được sử dụng để cung cấp cho các quản trị viên web khả năng tùy chỉnh CMS, bằng cách cắm vào các tập lệnh của riêng họ hoặc sửa đổi các tập lệnh hiện có. Họ có thể sử dụng các mô-đun có sẵn hoặc tự viết để thực hiện các chức năng bao gồm nhúng Tweets hoặc thêm tiện ích tìm kiếm.
Rhino Security Labs đã tiết lộ lỗ hổng cho Microweber vào ngày 27/4. Các nhà phát triển Microweber đã xác nhận lỗ hổng vào ngày 22/5 và phát hành Microweber 1.1.20, loại bỏ controller.php khỏi mã nguồn vào ngày 22/6.
Theo Daily Swig