Дыра в InstantCMS
Автор:
Опубликовано: 860 дней назад (13 января 2010)
Рубрика: Безопасность
Настроение: болею
+8
Голосов: 8
Обнаружил уязвимость которая позволяет злоумышленнику залить shell на сервер.
Подвержены все версии, в том числе и последняя - 1.5.3.

Способ устранение уязвимости:
Удалить файл /wysiwyg/editor/filemanager/connectors/php/upload.php
Обложка фотоальбома | description и keywords статьи из описания и тэгов
Комментарии (24)
mihalich # 13 января 2010 в 18:33 0
Но если по этому пути пройти, то ничего не отображается....
0 # 13 января 2010 в 18:59 0
Потому что его назначение не отображать,
а загружать переданный ему файл.
lezginka.ru # 13 января 2010 в 18:45 0
Maximov, если правильно понял - из папки "php" удалить - "upload.php" ?
0 # 13 января 2010 в 18:49 0
Именно так.
На работу сайта это действие никак не отразится.
0 # 13 января 2010 в 19:01 0
Выходит, что в зоне риска все CMS с этим редактором?
0 # 13 января 2010 в 19:05 0
Только те у кого версии 2.6.4 и ниже
0 # 13 января 2010 в 19:21 0
Так может Админа просить включить в двиг более новую версию?
Насколько я понял Fckeditor перешел на новый уровень, может его и прикрутить?
0 # 13 января 2010 в 19:25 0
Написал Админу, сразу же как обнаружил уязвимость.
Уверен он примет правильное решение
и в следующей версии все будет гуд.
Юрий (Pizza Celentano) # 14 января 2010 в 12:51 0
И всё же, какая функция этого файла, если при его удалении в работе сайта ничего не измениться, зачем он тогда вообще нужен это файл?
0 # 14 января 2010 в 13:13 0
Функция довольно простая это плагин файлового менеджера для редактора он стоит но не используеться в системе.
Fuze # 13 января 2010 в 19:39 0
я вообще из фрондэнда предлагаю убрать подобного рода редакторы, думаю достаточно будет редактора как в блоге. Папку переместить в admin. Это во многих отношениях будет плюс, т.к. пользователи копипастят - и не всегда все корректно вставляется.

Кстати не кто не знает как его заменить на обычную форму с ббкодами?
0 # 13 января 2010 в 20:05 0
лучше такую форму с ббкодами, как на майл.ру
Там хоть нормальное добавление текста, можно его форматировать удобно - а не как сейчас - калечный редактор
0 # 14 января 2010 в 02:11 0
http://www.instantcms.ru/blogs/49/144/post520.html#c  читаем меняем убираем лишнее, решаеться проблема со скролингом редактора на больших текстах. Идеальная вставка текстов скопированых из ворда.
0 # 14 января 2010 в 02:25 0
как ни пытался я эксплуатировать эту "уязвимость" - ничего не вышло, загружать php шелл все равно не удастся - там стоит фильтр и еще какой...
0 # 14 января 2010 в 02:36 0
работает на ура фильтр фильтром, но никто еще не отменял архивы. просто не хочется публиковать мануал пошаговый как это работает. Просто уже был неприятный разговор с админом на такие темы. НО он работает, в сети куча сплоитов которые юзают данную дырку.
0 # 14 января 2010 в 02:42 0
Все верно публиковать инструкцию, что бы доказывать не буду.

Но уверяю, прежде чем писать про уязвимость
я убедился в ее реальности.
0 # 14 января 2010 в 17:16 0
по-поводу архива - загрузить архив удастся например - но расширение не поменяешь на php. Хотя если в браузере настроить чтобы выводился архив как текст то еще как то может выйдет...но это только мои догадки
0 # 14 января 2010 в 02:37 0
Этот фильт можно хитро обмануть
Захар # 16 января 2010 в 18:53 0
Поверь мне - очень даже хорошо всё грузится ))) Проверено опытом )))
Я когда всё это глазками увидел - волосы на голове зашевелились
0 # 4 марта 2010 в 12:50 0
Вопрос такого характера!при редактирование статьи,а точнее добавление картинки вот что пишет нам Apache в его логах!/www/wysiwyg/editor/filemanager/connectors/php/upload.php' not found or unable to stat.Как быть?Если он был или его удалить!Зарание огромное спасибо! cry Ой забыл дописать версия 1.5.3 шаб(247shock_black_104)
0 # 4 марта 2010 в 16:17 0
Все верно картинки добавляются через этот уязвимый файл.

Проблема невозможности вставить картинки после удаления файла неоднократно обсуждалась.
Некоторые умудряются скопировать его на сайт обратно в надежде что пронесет и не сломают сайт.

Как быть?
Правильнее всего заменить визивиг редактор на безопасный.
Плагин FCKEditor 2.6.5
Замена wysiwyg - это просто
0 # 4 марта 2010 в 17:01 0
Огромное спасибо! v
Виктор # 4 марта 2010 в 17:13 0
Измени его имя на любое другое (имя файла upload.php)
и после этого замени в файле wysiwyg/fckconfig.js
все вхождения '/upload.' на '/new_name.'
здесь твоё новое имя для этого файла без php.
Внимание! Eщё раз говорю, без расширения php!
Например, новое имя my_best_upload_system.php (smile)
Следовательно, в том самом файле нужно будет заменить все вхождения '/upload.' на '/my_best_upload_system.'
У меня было три строки, у тебя, думаю, должно быть столько же smile.
Да, чуть не забыл, браузер нужно будет закрыть и запустить по-новой, а то не заработает.

И волки целы и овцы сыты smile
0 # 22 апреля 2010 в 12:34 0
Что то я не нашел способа использовать эту уязвимость. На всякий случай обновил до версии 2.6.6