专家在流行的CMS Umbraco中发现了一个漏洞,该漏洞可能允许低特权用户将特权提升为“管理员”。
Trustwave的安全专家已在流行的CMS网站Umbraco中发现了特权升级漏洞。
该漏洞影响一个API终结点,该终结点在将找到的结果返回到应用程序的日志记录部分之前无法正确检查用户的授权。
“ Umbraco版本8.9.0(在8.6.3中也可以看到)在核心管理屏幕中具有特权提升问题,该问题允许低特权用户访问各种资源,否则将仅限于高特权用户使用。” 阅读Trustwave发表的帖子。“该问题存在于API端点中,该端点在返回在应用程序的日志记录部分中找到的结果之前,无法正确检查用户的授权。”
具有较高特权的用户(即管理员)可以在管理UI中查看日志数据。
日志数据包括按配置插入到应用程序日志中或由自定义异常处理例程生成的信息。
专家使用管理员用户创建了一个特权较低的用户并将其放置在Writers组中,该缺陷的存在对该应用程序具有有限的访问权限,从而证明了该缺陷的存在。
新用户只能查看内容选项卡,该内容指示限制作家在应用程序中可以执行或查看的内容的意图。
对应用程序进行身份验证后,将为低特权用户提供必要的cookie和标头,以便对其进行访问。
然后,低特权用户对应用程序进行身份验证,并向其提供必要的cookie和标头以访问该应用程序。
“使用这些标识符,低特权用户可以访问API端点,该端点将返回仅通过UI可供管理员使用的日志数据。” Trustwave发布的分析继续说道。“在Umbraco.Web.dll中观察到,LogViewerController类在其公开的端点上不使用任何精细的授权属性。”
Trustwave研究人员发现,LogViewerController类使用的Umbraco.Web.dll库无法在其公开的端点上正确实施授权过程,这意味着特权较低的用户可以访问该端点。
“相反,还有其他一些确实可以保护资源的区域,例如UsersController,其中某些方法明确地限于管理用户(“ [AdminUsersAuthorize]”属性),或者必须以其他方式授予控制器权限(“ [UmbracoApplicationAuthorize]”)。” 分析结束。“ LogViewerController应该使用类似的方法来限制对其数据的未授权访问。”
特权升级问题影响Umbraco版本8.9.0和8.6.3,而版本7.x不受此漏洞影响。
CMS背后的开发团队通过发布Umbraco CMS 8.10.0迅速解决了该缺陷。
*编译:Domino
*来自:securityaffairs