SecurityTracker.com
    Home    |    View Topics    |    Search    |    Contact Us    |   

SecurityTracker
Archives


 


Category:   Application (Forum/Board/Portal)  >   Petitforum Vendors:   Semirat, Stephan
Petitforum Discloses Information to Remote Users and Allows Remote Users to Post Messages Acting as Other Users
SecurityTracker Alert ID:  1006117
SecurityTracker URL:  http://securitytracker.com/id/1006117
CVE Reference:   CVE-2003-1423, CVE-2003-1424   (Links to External Site)
Updated:  Jul 6 2008
Original Entry Date:  Feb 17 2003
Impact:   Disclosure of user information, User access via network
Exploit Included:  Yes  

Description:   A vulnerability was reported in Petitforum. A remote user can gain access to the forum acting as a target user. A remote user can also view the e-mail addresses and encrypted passwords for all users on the forum.

It is reported that the forum software stores user e-mail addresses, login nicknames, and encrypted passwords in a file that is accessible to remote users:

http://[target]/secret/liste.txt

It is also reported that the 'message.php' script does not authenticate remote users. A remote user can set a cookie ('connects') with a value of a target user's nickname to gain access to the script acting as the target user.

Impact:   A remote user can gain access to the forum acting as a target user. A remote user can also view the e-mail addresses and encrypted passwords for all users on the forum.
Solution:   No solution was available at the time of this entry.

The author of the report recommends using '.htaccess' file access controls on the 'liste.txt' file.

Vendor URL:  mathosphere.free.fr/demo/message.php (Links to External Site)
Cause:   Access control error, Authentication error
Underlying OS:  Linux (Any), UNIX (Any), Windows (Any)

Message History:   None.


 Source Message Contents

Subject:  Petitforum bugs


http://www.frogsecure.com/tutos/5holes8.txt

5) Petit Forum
~~~~~~~~~~~~~~
http://mathosphere.free.fr

Version :
'''''''''
1 ?

'''''''''''
- Usurpation des pseudos


Developpement :
'''''''''''''''

Comme son nom l'indique, c'est un petit forum. On peut y trouver une inscription de membres,
une partie admin et 2/3 autres petites choses.

Dans inscription.php, on peut voir le code suivant (que je commente) :
--------------------------------------------------------
...
if (($name) && ($pass) && ($mel)) // Si les variables $name, $pass, $mel ne sont pas vides,
{				 //qu'on a donc remplit les 3 champs du formulaire,
  $name=ereg_replace(":", "",$name); // on enleve : de $name,
  $mel=ereg_replace(":", "",$mel);  // on enleve : de $mel,
  $passc=crypt($pass,"leforumlamathosphere"); //on crypte le mot de passe
  $liste = "$name:$passc:$mel\n"; // on stocke les 3 infos dans une valeur; $liste,
  $flag=true; 			// la valeur flag vaut true
  $fp = fopen ("secret/liste.txt", "r");  // on ouvre le fichier secret/liste.txt en lecture.
  while (!feof($fp)) { 		// Tant qu'ont est pas au bout du fichier,
	$lignee = fgets($fp, 4096);		//]
	$ligne[$i]=explode(":",$lignee);	//]--> on verifie que que le pseudo n'existe
	$i++;					//]    false.
  }
  fclose($fp); 			// On ferme le fichier en lecture.
  if ($flag==true) { 		// Si flag vaut true,
	$fp = fopen("secret/liste.txt","a"); // on ouvre le fichier secret/liste.txt en ecriture,
	fwrite ($fp, $liste);               // on inscrit les 3 infos dedans
	fclose ($fp);			// on le ferme en ecriture,
	echo "Inscription réussie !"; // on confirme l'inscription.
...
--------------------------------------------------------

les membres se trouvent donc dans le fichier http://[traget]/secret/liste.txt .
Mais ici, le fichier secret/liste.txt est invariable. On est donc au courant qu'il
existe et de ce qu'il contient.

Une deuxieme faille se trouve au niveau de l'identification.
Il suffit donc d'envoyer un cookie avec comme nom "connecte" et comme valeur [NICKNAME]
par une personne exterieure au site.

Patch :
a) Utiliser des .htacces ou enregistrer dans un .php .
b) Utiliser les sessions.



Credits :
*********
frog-m@n
leseulfrog@hotmail.com


 
 


Go to the Top of This SecurityTracker Archive Page





Home   |    View Topics   |    Search   |    Contact Us

This web site uses cookies for web analytics. Learn More

Copyright 2020, SecurityGlobal.net LLC