Форум АНТИЧАТ

Баги детские но вот что интересно - разрабы этого клона нюка сказали что уязвимости содержаться в родном коде php-nuke, и следовательно во множестве его клонов. Сейчас патчей пока нет, они думают что с этим делать и кому слать эту инфу дальше.
P.S. По мере нахождения буду добавлять их сюда, авось кому пригодиться.
===========================================
1. Слепая SQL-injection в RavenNuke v2.20.01

Условие: Опция «Activate HTTP Referers» должна быть включена.
SQL-инъекция существует в файле /index.php — заголовок HTTP_REFERER не фильтруется. Строки 49-57:

Код:

if ($httpref == 1) {

$referer = '';

if (isset($_SERVER['HTTP_REFERER'])) {

$referer = $_SERVER['HTTP_REFERER'];

$referer = check_html($referer, 'nohtml');

}

if (!empty($referer) && !stripos_clone($referer, 'unknown') && !stripos_clone($referer, 'bookmark') && !stripos_clone($referer, $_SERVER['HTTP_HOST'])) {

$result = $db->sql_query('INSERT INTO '.$prefix.'_referer VALUES (NULL, \''.$referer.'\')');

}

2. Слепая SQL-injection в RavenNuke v2.20.01
Условие: magic_quotes должны быть отключены
SQL-инъекция существует в файле /modules.php — параметр "name" не фильтруется. Строки 28-29:

Код:

if (!isset($name)) $name='';

$name = trim($name);

Строка 42:

Код:

$result = $db->sql_query('SELECT * FROM `'.$prefix.'_modules` WHERE `title`=\''.$name.'\'');

3. Слепая SQL-injection в RavenNuke v2.20.01
SQL-инъекция существует в файле /backend_mshnl.php — параметр "msnl_sCats" не фильтруется. Строка 61:

Код:

$sql = 'SELECT `nid`, `topic` FROM `'.$prefix.'_hnl_newsletters` WHERE `cid` IN ('.$msnl_sCats.') AND `view` = 0 ORDER BY `datesent` DESC';

Зная префикс можно подобрать хэш админа.

4. Множественные SQL-инъекции в RavenNuke.
Уязвимости существуют скрипте /modules/Search/index.php - не фильтруются параметры "days","author" и "query".
Строки 42-47:

Код:

if (!isset($query)) { $query = ''; }

if (!isset($type)) { $type = ''; }

if (!isset($category)) { $category = 0; }

if (!isset($days)) { $days = 0; }

if (!isset($author)) { $author = ''; }

if (!isset($sid)) { $sid = 0; } else { $sid = intval($sid); }

Строки 189-194

Код:

$q = 'select s.sid, s.aid, s.informant, s.title, s.time, s.hometext, s.bodytext, a.url, s.comments, s.topic from '.$prefix.'_stories s, '.$prefix.'_authors a where s.aid=a.aid '.$queryalang.' '.$categ;

                                        if (isset($query)) $q .= 'AND (s.title LIKE \'%'.$query.'%\' OR s.hometext LIKE \'%'.$query.'%\' OR s.bodytext LIKE \'%'.$query.'%\' OR s.notes LIKE \'%'.$query.'%\') ';

                                        if (!empty($author)) $q .= 'AND s.aid=\''.$author.'\' ';

                                        if (!empty($topic)) $q .= 'AND s.topic=\''.$topic.'\' ';

                                        if (!empty($days) && $days!=0) $q .= 'AND TO_DAYS(NOW()) - TO_DAYS(time) <= \''.$days.'\' ';

                                        $q .= ' ORDER BY s.time DESC LIMIT '.$min.','.$offplus1;

Строка 289:

Код:

$result8 = $db->sql_query('SELECT tid, sid, subject, date, name from '.$prefix.'_comments where (subject like \'%'.$query.'%\' OR comment like \'%'.$query.'%\') order by date DESC limit '.$min.','.$offplus1);

Строка 406:

Код:

$res_n3 = $db->sql_query('SELECT user_id, username, name from '.$user_prefix.'_users where (username like \'%'.$query.'%\' OR name like \'%'.$query.'%\' OR bio like \'%'.$query.'%\') order by username ASC limit '.$min.','.$offplus1);

Строка 453:

Код:

        $dcnt = $db->sql_numrows($db->sql_query('SELECT * from '.$prefix.'_downloads_downloads WHERE title LIKE \'%'.$query.'%\' OR description LIKE \'%'.$query.'%\''));

Иньекции через параметры "author" и "days" возможны только при отключенной опции magic_quotes_gpc(). Иньекция в параметре "query" возможна в любом случае потому что его содержимое очищается от слэшей - строка 62:

Код:

$query = stripslashes(htmlentities($query, ENT_QUOTES));