- Kursy OffSec
- Oferta
- O Firmie
- Blog
- Kariera
- Kontakt
Atakujący może zakończyć działanie usługi Sparx Pro Cloud Server. Poprzez wysłanie specjalnie spreparowanego zapytania SQL możliwe jest wykonanie ataku typu Denial of Service (DoS). Problem został zidentyfikowany w wersjach do 6.1 włącznie. Pozostałe wersje nie zostały przetestowane i również mogą być podatne.
CVSS v4: 7.1
Attack Complexity: Low
Attack Requirements: None
Privileges Required: Low
Confidentiality (VC): None
Integrity (VI): None
Availability (VA): High
Confidentiality (SC): None
Integrity (SI): None
Sparx Pro Cloud Server jest podatny na Race Condition w końcówce /data_api/dl_internal_artifact.php. Aplikacja pobiera właściwości obiektu (param: guid), zapisuje odpowiedź lokalnie (DIR) pod nazwą i zawartością, którą kontroluje atakujący z dostępem do repozytorium. Plik jest usuwany po przetworzeniu, ale opóźnienie transmisji (duży plik / wolne połączenie) tworzy okno wyścigu. Wystarczy w tym czasie wysłać drugie żądanie wykonania złośliwego pliku PHP, co skutkuje zdalnym wykonaniem kodu. Problem został zidentyfikowany w wersjach do 6.1 włącznie. Pozostałe wersje nie zostały przetestowane i również mogą być podatne.
CVSS v4: 7.7
Attack Complexity: High
Attack Requirements: Present
Privileges Required: Low
Confidentiality (VC): High
Integrity (VI): High
Availability (VA): High
Confidentiality (SC): Low
Integrity (SI): Low
Availability (SA): Low
Uwierzytelniony atakujący może modyfikować zachowanie klienta Sparx Enterprise Architect (np. za pomocą debugera) i zalogować się jako dowolny inny użytkownik lub administrator. Możliwe jest wtedy wprowadzenie zmian w repozytorium. Problem został zidentyfikowany w wersjach do 17.1 włącznie. Pozostałe wersje nie zostały przetestowane i również mogą być podatne.
CVSS v4: 8.7
Attack Requirements: None
Privileges Required: Low
Confidentiality (VC): High
Integrity (VI): High
Availability (VA): High
Confidentiality (SC): None
Integrity (SI): None
Atakujący może wykonać zapytanie SQL bez uwierzytelniania w Sparx Pro Cloud Server. Umożliwia to pominięcie parametru zapytania “model” i wysłanie nazwy w binary blob w żądaniu POST. Problem został zidentyfikowany w wersjach do 6.1 włącznie. Pozostałe wersje nie zostały przetestowane i również mogą być podatne.
CVSS v4: 9.3
Attack Requirements: None
Privileges Required: None
Confidentiality (VC): High
Integrity (VI): High
Availability (VA): Low
Confidentiality (SC): None
Integrity (SI): None
Serwer Sparx Pro Cloud jest podatny na atak Broken Access Control w komunikacji z bazą danych. Z powodu braku kontroli uprawnień, każdy użytkownik o niskich uprawnieniach może uruchamiać dowolne zapytania SQL w kontekście użytkownika bazy danych. Problem został zidentyfikowany w wersjach do 6.1 włącznie. Pozostałe wersje nie zostały przetestowane i również mogą być podatne.
CVSS v4: 8.7
Attack Requirements: None
Privileges Required: Low
Confidentiality (VC): High
Integrity (VI): High
Availability (VA): Low
Confidentiality (SC): None
Pro3W CMS jest podatny na ataki typu SQL injection. Niewłaściwa neutralizacja danych wejściowych przekazywanych do formularza logowania umożliwia zdalnemu atakującemu obejście mechanizmu uwierzytelniania i uzyskanie uprawnień administracyjnych. Problem został zidentyfikowany w wersji 1.2.0 tego oprogramowania.
CVSS v4: 9.3
Attack Requirements: None
Confidentiality (VC): High
Integrity (VI): High
Availability (VA): Low
Confidentiality (SC): None
Funkcjonalność generowania raportów w Wyn Enterprise pozwala na dołączanie kodu, ale nie ogranicza w wystarczającym stopniu, jaki kod może być dołączony. Atakujący może użyć konta o niskich uprawnieniach, aby nadużyć tej funkcjonalności i wykonać złośliwy kod, załadować biblioteki DLL i wykonać polecenia systemu operacyjnego w systemie hosta z aplikacjami o wysokich uprawnieniach. Ten problem został rozwiązany w wersji 8.0.00204.0
CVSS v4: 8.7
Attack Requirements: None
Confidentiality (VC): High
Integrity (VI): High
Availability (VA): High
Confidentiality (SC): None
Luka dotycząca Ant Media Server Community Edition pozwala na manipulowanie nagłówkami w żądaniach HTTP, poprzez które nieautoryzowany użytkownik może uzyskać dostęp do wszystkich funkcjonalności (z wyłączeniem administracyjnych) API programu Ant Media Server Community Edition.
Luka dotycząca przechodzenia przez katalog w funkcji przesyłania plików w Gotenbergu do wersji 6.2.1 umożliwia atakującemu przesłanie i nadpisanie dowolnych zapisywalnych plików poza zamierzonym folderem.
Może to prowadzić do DoS, zmiany zachowania programu lub wykonania kodu.
W wybranych modelach TOTOLINK opartych o Realtek SDK tekst CAPTCHA można pobrać za pomocą metody POST {„topicurl”: „setting / getSanvas”} POST do identyfikatora URI boafrm / formLogin, co prowadzi do obejścia CAPTCHA.
Tekst CAPTCHA również nie jest potrzebny, gdy atakujący określi prawidłowe poświadczenia. Atakujący może podejmować działania routera za pośrednictwem HTTP z podstawowym uwierzytelnianiem. (basic authentication)).
Dotyczy to A3002RU do 2.0.0, A702R do 2.1.3, N301RT do 2.1.6 , N302R do 3.4.0, N300RT do 3.4.0, N200RE do 4.0.0, N150RT do 3.4.0 i N100RE do 3.4.0.
Na wybranych routerach TOTOLINK opartych o Realtek SDK uwierzytelniony atakujący może wykonywać dowolne polecenia systemu operacyjnego poprzez parametr sysCmd do identyfikatora URI boafrm / formSysCmd, nawet jeśli GUI (syscmd.htm) nie jest dostępne.
Luka umożliwia przejęcie pełnej kontroli nad urządzeniem.
Podatność dotyczy A3002RU do 2.0.0, A702R do 2.1.3, N301RT do 2.1.6, N302R do 3.4.0, N300RT do 3.4.0, N200RE do 4.0.0, N150RT do 3.4.0 i N100RE do 3.4.0 .
Wykryliśmy lukę w routerach opartych o Realtek SDK (w tym Realtek APMIB 0.11f i serwer Boa HTTP 0.94.14rc21) przechowują hasła w postaci zwykłego tekstu (niezaszyfrowane).
Dane przechowywane w pamięci w formacie COMPCS (biblioteka apmib) zawierają hasła do administracji routerem i inne hasła w postaci zwykłego tekstu. Biblioteka apmib w momencie inicjalizacji zrzuca całą zawartość pamięci do pliku /web/config.dat, który może zostać pobrany wraz z niezaszyfrowanymi hasłami użytkowników.
Wykryliśmy lukę w routerach opartych o Realtek SDK, które wykorzystują uwierzytelnianie podstawowe oparte o formularz HTTP Basic (który obejmuje również Realtek APMIB 0.11f i serwer Boa HTTP 0.94.14rc21), umożliwia zdalnym atakującym pobranie konfiguracji, w tym poufnych danych w postaci nazwy użytkownika i hasła.
Biblioteka apmib w momencie inicjalizacji zrzuca całą zawartość pamięci do pliku /web/config.dat. Ten folder jest wykorzystywany przez serwer http boa jako katalog dla indeksacji. Jeżeli router jest skonfigurowany do uwierzytelniania opartego na formularzu, kontrola dostępu weryfikuje dostęp tylko dla niektórych adresów URL, ale pliki z rozszerzeniem „.dat” nie są weryfikowane.
Wykryliśmy podatność w routerach D-Link DWR-116 do 1.06, DIR-140L do 1.02, DIR-640L do 1.02, DWR-512 do 2.02, DWR-712 do 2.02, DWR-912 do 2.02, DWR-921 do 2.02 oraz DWR-111 do 1.01.
Hasło administracyjne jest przechowywane w postaci zwykłego tekstu w pliku /tmp/csman/0. Atakujący wykorzystując błąd CVE-2018-10822 jest w stanie pobrać ten plik bez uwierzytelnienia przy pomocy ataku Directory Traversal lub LFI i tym samym uzyskać pełny dostęp do urządzenia.
Wykryliśmy lukę polegającą na przechodzeniu poprzez katalogi (directory traversal) poprzez interfejs webowy w D-Link DWR-116 do 1.06, DIR-140L do 1.02, DIR-640L do 1.02, DWR-512 do 2.02, DWR-712 do 2.02, DWR-912 do 2.02, DWR-921 do wersji 2.02 i DWR-111 do wersji 1.01
Luka umożliwia zdalnym atakującym odczytanie dowolnych plików za pomocą /.. lub // after „GET /uir” w żądaniu HTTP. UWAGA: ta luka istnieje z powodu źle działającej poprawki zgłoszonej w CVE-2017-6190.
Wykryliśmy podatność polegającą na przechowywaniu hasła administratora w postaci zwykłego tekstu w nvram na serwerze HTTPd we wszystkich wersjach <= 3.0.0.4.380.7743 ASUSa asuswrt.
Łącząc błędy CVE-2017-15654 oraz CVE-2017-15653, atakujący jest w stanie uzyskać hasło administratora i móc zalogować się do urządzenia, jedynie znając przybliżoną porę zalogowania administratora.
Na serwerze ASUS HTTPd w wersji asuswrt <= 3.0.0.4.376.X występuje wiele luk w zabezpieczeniach związanych z przepełnieniem buforu.
Wszystkie zostały naprawione w wersji 3.0.0.4.378, ale niniejsza luka nie została wcześniej odkryta. Niektóre routery wycofane z eksploatacji mają wersję 3.0.0.4.376.X i dlatego są obecnie podatne na ataki. Ta luka umożliwia zdalne uruchomienie kodu (RCE = Remote Code Execution) z uprawnieniami administratora, gdy administrator odwiedzi wybrane strony na routerze, po wcześniejszym przepełnieniu sterty na routerze przez atakującego.
Wykryliśmy podatność polegającą na stosowaniu wysoce przewidywalnych tokenów sesyjny na serwerze HTTPd we wszystkich wersjach <= 3.0.0.4.380.7743 routerów ASUS asuswrt
Podatność umożliwia uzyskanie dostępu do interfejsu administracyjnego routera, w momencie niedawnego logowania administratora oraz ominięciu weryfikacji IP logowania do urządzenia (CVE-2017-15653).
Stosując funkcjonalności routera, można bez uwierzytelnienia odpytywać urządzenie o zalogowanych użytkowników, dzięki czemu proces pozyskania tokenu można zautomatyzować.
Wykryliśmy podatność polegającą na błędnym sprawdzeniu poprawności adresu IP z którego można zalogować się na urządzenie na serwerze HTTPd we wszystkich wersjach <= 3.0.0.4.380.7743 ASUS asuswrt.
Znając token sesyjny (zdobyty np. przy pomocy CVE-2017-15654), atakujący jest w stanie ominąć blokadę adresu IP z którego można logować się na urządzenie, poprzez wysłanie specyficznej wartości w nagłówku ‚User-Agent’.
ManageEngine Password Manager Pro (PMP) posiada lukę SQL Injection w AdvanceSearch.class w AdventNetPassTrix.jar w wersji starszej niż 8.1 Build 8101.
Odkryta przez nas luka umożliwia zdalnym, uwierzytelnionym użytkownikom wykonywanie dowolnych poleceń SQL za pomocą parametru ANDOR, uzyskując tym samym dostęp do haseł innych użytkowników przechowywanych w systemie.
PL 
EN