Posh : faille

Cette fois ci j’ai essayé de trouver une faille XSS (cross site scripting) dans posh, j’ai réussi.

Toujours en utilisant la fonctionnalité de proposition d’un module : on lance l’exécution d’un script non désiré lorsque l’administrateur consulte la page des modules en attente de validation.

Par ce biais un utilisateur peu scrupuleux peut exécuter des tâches avec les privilèges administrateur de manière totalement transparente, même si le module n’est pas accepté.

Cette fois ci le seul «proof of concept» est l’affichage d’un alert en javascript. Ce n’est pas beaucoup mais c’est suffisant pour démontrer la faisabilité de la chose.

Recommandation : si vous avez un site web avec posh, désactivez la soumission de modules par les utilisateurs.

Je préviens l’auteur…

Commentaires

2 Comments sur « Posh : faille »

  1. herisson26 dit :

    Et ben ! Tu leur en veux, ou tu espères qu’ils vont t’embaucher ? ^_^

  2. Ghusse dit :

    Je bosse dessus en ce moment pour mon stage… Alors forcément j’ai le nez dedans.

Laisser un commentaire