当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075065

漏洞标题:Mallbuilder(多用户商城)CSRF执行任意SQL

相关厂商:Mallbuilder

漏洞作者: 路人甲

提交时间:2014-09-09 12:29

修复时间:2014-12-08 12:30

公开时间:2014-12-08 12:30

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-12-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

NULL

详细说明:

1.漏洞点
网站后台 /admin/up_db.php 可执行任意SQL语句,并未加CSRF防护,
以官网后台Demo http://cn.mall-builder.com/admin/ 为例,管理员admin:admin登陆后,
向http://cn.mall-builder.com/admin/up_db.php
POST如下数据,即可执行drop table mallbuilder_feed

{sql:'drop table mallbuilder_feed',action:'submit'}



2.利用
为了放大利用,除了引诱管理员访问指定页面外,还可利用该系统本身存在的XSS漏洞,
以官网前台Demo http://democn.mall-builder.com/为例,

1.png


用户注册后,访问http://democn.mall-builder.com/main.php?m=member&s=admin_member修改个人资料,其中,头像下方的<input>未经过滤,可插入XSS payload,配合jquery
比如,

x" onerror="$.post('/admin/up_db.php',{sql:'drop table mallbuilder_feed',action:'submit'})


提交,
当管理员访问含有该用户头像的所有页面时,便会触发XSS->CSRF->SQL执行,这些页面包括:
http://democn.mall-builder.com/home.php?uid=537
http://democn.mall-builder.com/main.php?action=main
评论
来访者
……
等等

漏洞证明:

2.png


可看到已发送POST请求

修复方案:

Anti-CSRF token

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝