Приложения для веб-разработки содержат ошибки, которые позволяют выполнить любую команду на сервере.

Эксперты по кибербезопасности из PT Swarm обнаружили 3 уязвимости межсайтового скриптинга (XSS) в популярных open-source приложениях, которые могут вызвать удаленное выполнение кода (RCE). Ошибки содержатся в приложениях для веб-разработки Evolution CMS, FUDForum и Gitbucket.

XSS-атака позволяет злоумышленнику запускать JavaScript-код в браузере жертвы, что позволяет украсть cookie-файлы или перенаправить пользователя на фишинговый сайт.

Ошибка в Evolution CMS V3.1.8 позволяет хакеру запустить отраженную (непостоянную) XSS-атаку в разных местах в разделе администратора. При атаке на авторизованного в системе администратора файл «index.php» будет перезаписан кодом, который киберпреступник разместил в полезной нагрузке.

Вторая уязвимость в FUDForum v3.1.1 позволяет хакеру запустить постоянную (хранимую) XSS-атаку. В панели администратора FUDforum есть файловый менеджер, позволяющий загружать файлы на сервер, в том числе файлы с расширением PHP. Злоумышленник может использовать постоянный XSS для загрузки PHP-файла, который может выполнять любую команду на сервере.

Недостаток в Gitbucket v4.37.1 может позволить хакеру запустить постоянную XSS-атаку в различных местах. Киберпреступник может попытаться использовать ее для выполнения кода на сервере. Кроме того, в панели администратора есть инструменты для выполнения SQL-запросов, чтобы получить доступ к базе данных.

GitBucket по умолчанию использует движок базы данных H2. Для этой базы данных существует общедоступный эксплойт для удаленного выполнения кода. Для проведения атаки хакеру нужно просто создать PoC-код на основе этого эксплойта, загрузить его в репозиторий и использовать во время атаки.

На данный момент информация об обнаруженных уязвимостях была доведена до сведения пользователей. Исправления доступны в официальных репозиториях приложений:

Источник: securitylab