Исследователи из компании RIPS Technologies нашли опасные уязвимости в популярном сервисе для организации онлайн-опросов LimeSurvey. Бреши позволяют запускать произвольный код на веб-серверах.

LimeSurvey — это бесплатное open source интернет-приложение. По информации Securityweek, его скачивают около 10 тысяч раз в месяц. Пользователи устанавливают клиент на свой сервер и взаимодействуют с системой через веб-интерфейс.

Именно в последнем и обнаружились две критические уязвимости. Одна из них открывает возможность межсайтового скриптинга (Cross-Site Scripting, XSS) из-за ошибки в функции сохранения черновика опроса. Исследователи выяснили, что сервис хранит электронный адрес пользователя, по которому он позже опознает автора незавершенного материала, в незашифрованном виде.

Благодаря этой недоработке злоумышленник может получить доступ к анкете. Для этого он должен запустить зловредный Java-скрипт в браузере жертвы — либо заманив ее на свой сайт, либо дождавшись, пока она сама загрузит черновик опроса в панели управления. После этого взломщик проходит аутентификацию от имени скомпрометированного пользователя и может эксплуатировать вторую уязвимость.

Эта брешь позволяет загружать и редактировать произвольные файлы шаблонов LimeSurvey. Поскольку в программе недостаточно четко прописан запрет на изменение служебных объектов, становится возможной атака типа «обход каталога». Злоумышленник способен заставить приложение воспринимать файл index.php как редактируемый шаблон, таким образом захватив контроль над программой и получив доступ к ее серверу.

Выявленные проблемы актуальны для LimeSurvey версии 2.72.3. Согласно сообщению авторов отчета, получив описание брешей в начале ноября, разработчик устранил их в течение двух дней. Защищенная версия дистрибутива имеет номер 2.72.4, но специалисты рекомендуют пользователям обновляться сразу до декабрьской версии 3.0.

Крупные веб-сервисы нередко становятся источником угроз. Чаще всего в новости попадает WordPress — самая популярная платформа для размещения сайтов, на которой работают более 30% из 10 млн топовых интернет-площадок. Так, в январе 2018 года израильский ИБ-эксперт обнаружил в ее коде брешь, способную вызвать критическую ошибку веб-сервиса. Дыры в надстройках также позволяют взломщикам перехватывать введенный пользователем текст и воровать конфиденциальные данные.

Категории: Уязвимости