当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2012-06052
漏洞标题:
HDWiki 5.1 任意用户密码修改漏洞
相关厂商:
互动在线(北京)科技有限公司
漏洞作者:
牛奶坦克
提交时间:
2012-04-14 19:06
修复时间:
2012-04-19 19:07
公开时间:
2012-04-19 19:07
漏洞类型:
设计缺陷/逻辑错误
危害等级:
自评Rank:
18
漏洞状态:
漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2012-04-14: 细节已通知厂商并且等待厂商处理中
2012-04-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

HDWiki重置密码存在一处逻辑漏洞,导致攻击者可以修改任意用户密码。

详细说明:

control/user.php
	function dogetpass(){
        ......
		}elseif(isset($this->post['verifystring'])){
			$uid=$this->post['uid'];
			$encryptstring=$this->post['verifystring'];
			$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);
			if($idstring==$encryptstring){
                       //没考虑到提交为空与查询返回为空的情况,一个逻辑错误
				$newpass = $this->post['password'];
				$renewpass = $this->post['repassword'];
				$error=$_ENV['user']->checkpassword($newpass,$renewpass);
				if($error=='OK'){
					//eval($this->plugin["ucenter"]["hooks"]["getpass"]);
					UC_OPEN && $msg=$_ENV['ucenter']->getpass($uid,$newpass);
					$_ENV['user']->update_field('password',md5($newpass),$uid);
					$_ENV['user']->update_getpass($uid);
					$this->message($this->view->lang['resetPassSucess'],'index.php?user-login',0);
				}else{
				  $this->message($error,'BACK',0);
				}
			}else{
				$this->message($this->view->lang['resetPassMessage'], WIKI_URL ,0);
			}
		}
	function  get_idstring_by_uid($uid,$time){  //取验证码
		return $this->db->result_first("SELECT code FROM ".DB_TABLEPRE."activation WHERE uid=$uid AND available=1  AND type=1 AND time>($time-3*24*3600) ORDER BY time DESC");
	}

漏洞证明:

http://wiki.somesite.com/index.php?user-getpass-用户id
正常情况应该是这样,user-getpass-1-xxx,但是因为逻辑问题,可以绕过去。
这种情况下表单内verifystring变量为空,直接输入两次新密码就重置了。
其实,这里还有个注射的,取验证码的时候。。。

修复方案:

逻辑问题,考虑一下检测码为空,并且数据库内没有该用户重置记录的情况。
临时解决方案:
}elseif(isset($this->post['verifystring'])){
$uid=$this->post['uid'];
$encryptstring=$this->post['verifystring'];
$idstring=$_ENV['user']->get_idstring_by_uid($uid,$this->time);
/* 判断一下空的情况 */
if(empty($encryptstring) || empty($idstring)){
$this->message($error,'BACK',0);
}

版权声明:转载请注明来源 牛奶坦克@乌云

>

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2012-04-19 19:07

厂商回复:

最新状态:

2012-04-20:有三个漏洞1、安装时如果语言包不存在时暴漏路径漏洞2、取概述信息时漏洞修复3、评论时漏洞修复 已经全部修复,安装包文件已经交给光明进行替换,补丁包已经发到论坛上了地址如下:http://kaiyuan.hudong.com/bbs/viewthread.php?tid=111695&extra=page%3D1 NOTE:上传图片漏洞很早之前已经修复了,不在此次之内。