基于 PHP 的开源内容管理系统(CMS)Microweber 中存在一个严重的安全漏洞,泄露容易破解的管理员凭据和大量其他的用户信息。
用于访问该 CMS 的密码采用 bcrypt 进行哈希加密,但是“这些哈希在默认的配置中可被 Hashcat 破解,导致攻击者可获取管理员密码”,Rhino Security Labs 的渗透测试人员 Hunter Stanton 说到。
在 Microweber 背后的团队修复该漏洞后,建议 web 管理员尽快更新他们的 Micorweber builds。
自 2015 年启动以来,Microweber 已被下载超过 71 000 次。
Stanton 解释称,该 pre-auth 漏洞(CVE-2020-13405)存在于 controller.php 脚本中,Microweber 开发人员说该脚本是从早期 Microweber 开发留下的。
该脚本在用户数据库上运行 Laravel 的‘dump and die’函数,在停止执行该脚本之前,该函数将整个 PHP 变量的内容打印出来给 HTML,该名研究人员在一篇博文中解释道。
攻击者可通过向/modules/终端发送 POST 请求 module=/modules/users/controller 未经身份认证利用该漏洞。
该请求会执行 controller.php 脚本,在响应中生成整个用户数据库。
Web 管理员使用 PHP 脚本,通过插入自己的脚本或修改已有的脚本,自定义该 CMS。
他们可以使用现成的模块或编写自己的模块,执行嵌入 Tweets 或添加搜索工具等功能。
Rhino Security Labs 于 4 月 27 日向 Microweber 披露了该漏洞。
该项目的维护人员于 5 月 22 日确认了该漏洞,并在 6 月 22 日发布了 Microweber 1.1.20 版本,该版本从源代码中移除了 controller.php。
—————————
本文源自 Port Swigger;转载请注明出处。