Vulnerabilidad en GetSimple CMS (CVE-2019-11231)

Se descubrió un problema en GetSimple CMS hasta 3.3.15. El saneamiento de entrada insuficiente en el archivo theme-edit.php permite cargar archivos con contenido arbitrario (código PHP, por ejemplo). Esta vulnerabilidad es activada por un usuario autenticado; sin embargo, la autenticación puede ser anulada. De acuerdo con la documentación oficial para el paso de instalación 10, se requiere que un administrador cargue todos los archivos, incluidos los archivos .htaccess, y realice una comprobación de estado. Sin embargo, lo que se pasa por alto es que el servidor HTTP Apache de forma predeterminada ya no habilita la directiva AllowOverride, lo que lleva a la exposición de datos / users / admin.xml a la contraseña. Las contraseñas están en hash, pero esto se puede omitir comenzando con la clave de API data / other / permission.xml. Esto permite orientar el estado de la sesión, ya que decidieron rodar su propia implementación. La cookie_name es información elaborada que se puede filtrar desde el frontend (nombre y versión del sitio). Si alguien pierde la clave de la API y el nombre de usuario del administrador, entonces puede omitir la autenticación. Para hacerlo, deben proporcionar una cookie basada en un cálculo SHA-1 de esta información conocida. La vulnerabilidad existe en el archivo admin / theme-edit.php. Este archivo comprueba los envíos de formularios mediante solicitudes POST y para el csrf nonce. Si el nonce enviado es correcto, entonces se carga el archivo proporcionado por el usuario. Hay un recorrido de ruta que permite el acceso de escritura fuera de la raíz del directorio de temas enjaulados. Su explotación del recorrido no es necesaria porque el archivo .htaccess se ignora. Un factor que contribuye es que no hay otra verificación en la extensión antes de guardar el archivo, asumiendo que el contenido del parámetro es seguro. Esto permite la creación de archivos web accesibles y ejecutables con contenido arbitrario.