phpBB até 3.1.1 deregister_globals Elevação de Privilégios ⚔ [Questionado]

CVSS Meta Pontuação TemporáriaPreço atual do exploit (≈)Nota de Interesse CTI
4.8$0-$5k0.00

Sumárioinformação

Foi detectada uma vulnerabilidade classificada como crítico em phpBB até 3.1.1. Afectado é a função deregister_globals. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Além disso, há uma exploração disponível. A existência desta vulnerabilidade ainda está em dúvida atualmente.

Detalhesinformação

Foi detectada uma vulnerabilidade classificada como crítico em phpBB até 3.1.1. Afectado é a função deregister_globals. A manipulação com uma entrada desconhecida leva a Elevação de Privilégios. Declarar o problema usando CWE resulta em CWE-269. A fraqueza foi publicada 22/11/2014 por Taoguang Chen como phpBB <= 3.1.1 deregister_globals() Function Bypass como Mailinglist Post (Full-Disclosure). O aconselhamento é partilhado para download em seclists.org. O lançamento público aconteceu sem coordenação com o fornecedor.

Os detalhes técnicos estão disponíveis. A vulnerabilidade não é bem conhecida. Além disso, há uma exploração disponível. A exploração foi divulgada ao público e pode ser utilizada. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projeto MITRE ATT&CK declara a técnica de ataque como T1068. A razão para esta vulnerabilidade é este trecho de código:

$input = array_merge(
array_keys($_GET),
array_keys($_POST),
array_keys($_COOKIE),
array_keys($_SERVER),
array_keys($_SESSION),
array_keys($_ENV),
array_keys($_FILES)
);


foreach ($input as $varname)
{
if (isset($not_unset[$varname]))
{
if ($varname !== 'GLOBALS' || isset($_GET['GLOBALS']) ||
isset($_POST['GLOBALS']) || isset($_SERVER['GLOBALS']) ||
isset($_SESSION['GLOBALS']) || isset($_ENV['GLOBALS']) ||
isset($_FILES['GLOBALS']))
{
exit;
}
else
{
$cookie = &$_COOKIE;
while (isset($cookie['GLOBALS']))
{
if (!is_array($cookie['GLOBALS']))
{
break;
}
....
}
}
unset($GLOBALS[$varname]);
}
O aconselhamento aponta para o seguinte:
In the above code we see, when request $_COOKIE['GLOBALS'] = 1, $GLOBALS['GLOBALS'] will be destroyed by unset(). This means $GLOBALS array will be destroyed. This also means you will not be able to use $GLOBALS['key'] to access or control a global variable in all scopes throughout a script. Because the binding between the $GLOBALS array and the global symbol table has been broken. All global variables registered by PHP form $_COOKIE, $_SERVER, $_SESSION, $_ENV, and $_FILES arrays will be not unregistered.

É declarado como prova de conceito. A exploração está disponível em packetstormsecurity.com. Como 0-day, o preço estimado no mercado negro era cerca de $0-$5k. O código utilizado pela exploração é:

$_COOKIE['GLOBALS'] = 1;
$_COOKIE['ryat'] = $ryat = 'ryat';


deregister_globals();


var_dump($GLOBALS);
var_dump($ryat);


$GLOBALS['ryat'] = 'hi';


var_dump($GLOBALS);
var_dump($ryat);
A existência desta vulnerabilidade ainda está em dúvida atualmente. .

A recomendação traz a seguinte observação:

I had reported the issue to the phpBB developers, but they do not consider this a security issue.

A vulnerabilidade consta ainda em outros bancos de dados de vulnerabilidades: X-Force (99026).

Produtoinformação

Tipo

Nome

Versão

Licença

Site

CPE 2.3informação

CPE 2.2informação

CVSSv4informação

VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv3informação

VulDB Meta Pontuação Base: 5.3
VulDB Meta Pontuação Temporária: 4.8

VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 4.8
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍

CVSSv2informação

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplexidadeAutenticaçãoConfidencialidadeIntegridadeDisponibilidade
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍

Exploraçãoinformação

Classe: Elevação de Privilégios
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Físico: Não
Local: Não
Remoto: Sim

Disponibilidade: 🔍
Acesso: Público
Estado: Prova de conceito
Autor: Taoguang Chen
Linguagem de programação: 🔍
Descarregar: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HojeDesbloquearDesbloquearDesbloquearDesbloquear

Inteligência de ameaçasinformação

Interesse: 🔍
Atores ativos: 🔍
Grupos APT ativos: 🔍

Contramedidasinformação

Recomendação: nenhuma medida conhecida
Estado: 🔍

Tempo 0-dia: 🔍
Tempo de atraso de exploração: 🔍

Linha do tempoinformação

22/11/2014 🔍
22/11/2014 +0 dias 🔍
02/12/2014 +10 dias 🔍
06/07/2017 +947 dias 🔍

Fontesinformação

Produto: phpbb.com

Aconselhamento: phpBB <= 3.1.1 deregister_globals() Function Bypass
Pessoa: Taoguang Chen
Estado: Não definido
Questionado: 🔍

GCVE (VulDB): GCVE-100-68299
X-Force: 99026 - phpBB deregister_globals() security bypass, Medium Risk

scip Labs: https://www.scip.ch/en/?labs.20161013

Entradainformação

Criado: 02/12/2014 09h37
Atualizado: 06/07/2017 08h16
Ajustamentos: 02/12/2014 09h37 (51), 06/07/2017 08h16 (5)
Completo: 🔍
Cache ID: 216:6CD:103

Discussão

Ainda sem comentários. Idiomas: pt + es + en.

Por favor, inicie sessão para comentar.

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!