Microweber CMS严重漏洞可致管理员密码泄露-冯金伟博客园

  基于 PHP 的开源内容管理系统(CMS)Microweber 中存在一个严重的安全漏洞,泄露容易破解的管理员凭据和大量其他的用户信息。

  用于访问该 CMS 的密码采用 bcrypt 进行哈希加密,但是“这些哈希在默认的配置中可被 Hashcat 破解,导致攻击者可获取管理员密码”,Rhino Security Labs 的渗透测试人员 Hunter Stanton 说到。

  在 Microweber 背后的团队修复该漏洞后,建议 web 管理员尽快更新他们的 Micorweber builds。

  自 2015 年启动以来,Microweber 已被下载超过 71 000 次。

  Stanton 解释称,该 pre-auth 漏洞(CVE-2020-13405)存在于 controller.php 脚本中,Microweber 开发人员说该脚本是从早期 Microweber 开发留下的。

  该脚本在用户数据库上运行 Laravel 的‘dump and die’函数,在停止执行该脚本之前,该函数将整个 PHP 变量的内容打印出来给 HTML,该名研究人员在一篇博文中解释道。

  攻击者可通过向/modules/终端发送 POST 请求 module=/modules/users/controller 未经身份认证利用该漏洞。

  该请求会执行 controller.php 脚本,在响应中生成整个用户数据库。

  Web 管理员使用 PHP 脚本,通过插入自己的脚本或修改已有的脚本,自定义该 CMS。

  他们可以使用现成的模块或编写自己的模块,执行嵌入 Tweets 或添加搜索工具等功能。

  Rhino Security Labs 于 4 月 27 日向 Microweber 披露了该漏洞。

  该项目的维护人员于 5 月 22 日确认了该漏洞,并在 6 月 22 日发布了 Microweber 1.1.20 版本,该版本从源代码中移除了 controller.php。

  —————————

  本文源自 Port Swigger;转载请注明出处。