PT-2009-42: Cross-Site Request Forgery в Kayako Support Suite

Уязвимое ПО

Kayako Support Suite
Версия 3.60.04 stable и, возможно, более ранние

Ссылка на приложение:
http://www.kayako.com/

Рейтинг опасности

Уровень опасности:   Средний
Воздействие:         Cross-Site Request Forgery
Вектор атаки:        Удаленный

CVSS v2:
Base Score:     7
Temporal Score: 5.2
Vector:         (AV:N/AC:M/Au:S/C:C/I:P/A:N/E:U/RL:O/RC:C)

CVE:   отсутствует

Описание программного обеспечения

Kayako Support Suite – система технической поддержки HelpDesk.

Описание уязвимости

Positive Technologies Research Team обнаружили уязвимости «межсайтовая подмена запросов» в приложении Kayako Support Suite.

Приложение не обеспечивает необходимую защиту от атак данного класса во всех операциях, производимых администратором, и некоторых операциях staff'а.

Данный тип атак направлен на имитацию запроса пользователя к стороннему сайту. Эта уязвимость достаточно широко распространена из-за особенностей архитектуры большинства веб-приложений, а именно из-за того, что многие веб-приложения не могут точно определить, действительно ли запрос сформирован настоящим пользователем.

Нападение может использоваться для следующих целей:

1. При условии, что администратор, не закончив свою сессию, открыл сессию от имени staff, злонамеренный пользователь может передать ему ссылку на страницу или поместить во вложение html-файл с вредоносным кодом, в результате загрузки которого пользователь сможет выполнить любые действия с правами администратора (сменить его пароль, e-mail и т.д.)

2. Если у staff нет параллельной сессии администратора, то злонамеренный пользователь может:
- создать пользователя в обход всех проверок
- активировать пользователя
- изменить e-mail произвольного пользователя
- изменить e-mail staff'а

Подробности уязвимостей не раскрываются.

Решение

Установите последнюю версию - 3.70.01

Статус уведомления

12.10.2009 - Производитель уведомлен
13.10.2009 - Получен ответ от производителя
19.01.2010 - Производитель подтвердил уязвимость и предоставил временное решение
09.02.2010 - Производитель выпустил исправление
08.04.2010 - Разглашение уязвимости

Благодарности

Эту уязвимость обнаружил Тимур Юнусов (Positive Technologies Research Team)

Ссылки

http://www.securitylab.ru/lab/PT-2009-42
http://www.ptsecurity.ru/advisory.asp

Список отчетов об уязвимостях, ранее обнаруженных Positive Technologies Research Team:

http://www.securitylab.ru/lab/
http://www.ptsecurity.ru/advisory.asp

Уязвимости