vbulletin 4.x - SQLi Exploit Liberado CVE-2014-2022

Publicado Por Unknown // 17:58 // 14 oct 2014



Fecha: 10/12/2014
CVSS: 7.1 (AV: N / AC: H / Au: S / C: C / I: C / A: C) de base
cwe: 89 

proveedor: Soluciones vBulletin
producto: vBulletin 4
Versiones afectadas: últimas 4.x (hasta la fecha); verificado <= 4.2.2
* VBulletin 4.2.2 (verificado)
* VBulletin 4.2.1 (verificado)
* VBulletin 4.2.0 PL2 (verificado) 

explotabilidad: 

* Explotable de forma remota
* Requiere autenticación (ApiKey)
disponibilidad parche (hasta la fecha): Ninguno 

Resumen

vBulletin 4 no limpiar adecuadamente los parámetros para permitir breadcrumbs_create
a un atacante inyectar comandos SQL de su elección (SELECT).
riesgo: más bien bajo - debido al hecho de que es indispensable la clave api
es probable que pueda utilizar CVE-2014-2023 para obtener la clave api 


Detalles 

componente vulnerable:
./includes/api/4/breadcrumbs_create.php
argumento vulnerables:
conceptid 

que se desinfectan TYPE_STRING lo que no impide inyecciones SQL. 
1) prerequesites
1.1) enable API, generate API-key
logon to AdminCP
goto "vBulletin API"->"API-Key" and enable the API interface, generate key
2) run PoC
edit PoC to match your TARGET, APIKEY (, optionally DEBUGLEVEL)
provide WWW_DIR which is the place to write the php_shell to (mysql must have permissions for that folder)

Nota: no se proporciona meterpreter_bind_tcp 
ejecutar PoC, esperar para el éxito! mensaje 
Nota: poc desencadenará shell meterpreter 

escenario PoC meterpreter requiere que el usuario mysql para tener permisos de escritura 
que puede no ser el caso en algunas instalaciones por defecto

Cronología 

01/14/2014: contacto inicial vendedor, ninguna respuesta 
24/02/2014: contactos de proveedores terceros, ninguna respuesta 
10/13/2014: divulgación pública


Exploit:

 https://github.com/tintinweb/pub/blob/master/pocs/cve-2014-2022/poc_cve-2014-2022.py


Etiquetas: