IDCSPY使用的客服系统(KnowledgeBuilder)存在任意文件上传的问题

漏洞概要

缺陷编号:WooYun-2013-020286

漏洞标题:IDCSPY使用的客服系统(KnowledgeBuilder)存在任意文件上传的问题

相关厂商:idcspy

漏洞作者:kevila

提交时间:2013-03-19 10:52

公开时间:2013-05-03 10:52

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2013-03-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-05-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可以上传任意文件

详细说明:

最初在浏览http://support.idcspy.com想看看有没有注入或XSS的问题当在留言页面测试http://support.idcspy.com/index.php?action=kb&article=2&op=comment时,修改了一下article的值http://support.idcspy.com/index.php?action=kb&article=22&op=comment然后显示了如下错误:

根据该错误的文件名KBCommentContext.class.php去Google了一下这是个什么程序。发现是使用的一个第三方程序。尝试访问:http://support.idcspy.com/modules/显示了目录索引的信息,泄露的一些关键信息就不说了。

本来试图去下载KnowledgeBuilder去研究代码,结果发现这货已经在网上绝迹了,官网上似乎也无法下载,貌似是商用软件。关键的地方这个程序里面:http://support.idcspy.com/modules/KB/admin/article_attach.php这个程序可以上传任意文件到服务器,并且似乎不做任何后缀检查。下载的话是这个地址:http://support.idcspy.com/modules/KB/file_d.php?id=xxx但很囧的是因为拿不到这套程序的代码,所以不知道它的储存路径在哪里,或许是存在数据库里?

漏洞证明:

http://support.idcspy.com/modules/KB/admin/article_attach.php访问这个地址就可以直接看到。

尽管由于没有搞清楚存储路径,所以无法任意执行文件,但是这种可以任意上传的问题,也会导致许多的问题。

修复方案:

首先是禁止Apache的目录索引,其次是解决上传文件无需认证和后缀判断的问题。

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:6 (WooYun评价)

评价