Anti-CSRF Filter Bypass SMF 2.0 / 1.1.14Anti-CSRF Filter Bypass SMF 2.0 / 1.1.14
Resumen
El tag de BBcode [img] tiene un filtro anti-CSRF que puede ser circunvenido en la variable 'action'. Es posible ejecutar CSRF exitosamente.
Descripción
Software: Simple Machines Forum (SMF)
Versiones: SMF 2.0
SMF 1.1.14
Fecha de publicación: 2011-08-23
Impacto: Cross site request forgery
Solución: N/A (Desarrollador informado)
Websec-id: ws11-15
Cuando un usuario publica un URL como la fuente de un tag [img] y parece malicioso, SMF intenta evitar que se ejecute el CSRF cambiando "action=something" por "action-something".
Es posible crear un URL agregando al final del nombre de la variable un null-byte (%00). De esta forma el filtro es circunvenido y es posible realizar un ataque de CSRF.
Christian Yerena
cyerena [ at ] websec [ dot ] mx
POC
Elimina al usuario 102 de la lista de amigos (SMF 1.1.14):
[img]http://ejemplo.com/index.php?sa=editBuddies;remove=102;action%00=profile[/img]
Logout (SMF 2.0):
[img]http://example.com/community/index.php?action%00=logout;token[/img]
TWITTER
FACEBOOK
RSS
CONTÁCTANOS