MyBB MyTube插件'mytube.php'HTML注入漏洞

发布日期:2012-12-18
更新日期:2012-12-19

受影响系统:
MyBB MyTube 1.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 56974

MyBB MyTube插件允许用户将youtube视频添加到个人信息里。

MyTube 1.0及其他版本没有正确验证Youtube ID字段的合法性,攻击者可利用此漏洞在受影响站点内注入和运行任意HTML或JS代码。

问题代码存在于mytube.php中,如下:
--------------------------------------------------------------
function mytube_activate(){....<embed src="https://www.youtube.com/v/{$tubeid}{$autoplay}" type="application/x-
shockwave-flash" wmode="transparent"></embed></object></td></tr>}
--------------------------------------------------------------

细节见测试方法。


<*来源:Kim Kun Bum
 
  链接:
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Kim Kun Bum ()提供了如下测试方法:

# Exploit Title: MyTube MyBB Plugin Stored XSS
# Date: 18/12/2012
# Exploit Author: Kim Kun Bum
# Vendor by:
# Software Link:
# Version: 1.0
# Category:Web Security
# Tested on: Windows7
Reason : Lack of input validation in Youtube ID field
+--------------------------------------------------------------------------+
Stored XSS-vulnerabilities
0. install&Activate plugin
1. go to Usercp >> Edit Profile >> Youtube:
2. inject following code
"http://www.youtube.com?v="</embed> <script> alert(document.cookie) </script>
3. This code will be stored as profile content.
4. Visit your profile and Can see the execution of injected script
Vulnerable code in mytube.php soucre :
function mytube_activate(){....<embed src="https://www.youtube.com/v/{$tubeid}{$autoplay}" type="application/x-
shockwave-flash" wmode="transparent"></embed></object></td></tr>}

原始链接见

建议:
--------------------------------------------------------------------------------
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 禁用MyTube插件

厂商补丁:

MyBB
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wygfss.html