Banalny exploit na Drupala – można przejąć serwer bez uwierzytelnienia

23 lutego 2019, 13:41 | W biegu | 1 komentarz
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Niewiele trzeba było czekać na analizę ostatniego patcha wydanego przez ekipę Drupala. Jeśli mamy dostępne API RESTowe możemy wykonać taki request:

Bez uwierzytelnienia on nie przechodzi. Ale… jeśli zmienimy metodę z POST na GET, żądanie jest przetwarzane bez uwierzytelnienia!

Co więcej, w parametrze options (patrz poniżej) można przekazać ciąg znaków, który jest automatycznie deserializowany po stronie serwerowej i mamy wykonanie kodu po stronie serwerowej:

W odpowiedzi wynik naszego polecenia (w tym przypadku id):

Polecamy jak najszybciej załatać Drupala.

PS
Jeśli interesuje Cię tematyka bezpieczeństwa API REST – zapraszamy na nasze autorskie szkolenie warsztatowe.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Szybka reakcja! Bo faktycznie mogloby to namieszac troche bez patcha. Z drugiej strony przy architekturze Docker-owej za duzo tutaj nie zdzialamy co dodaje pewny ‚layer’ bezpieczenstwa.
    Pozdrawiam

    Odpowiedz

Odpowiedz