Bonjour,

Il y quelques jours notre site à été victime d'une attaque par injection
SQL.

Des injections répéter de code SQL dans des requêtes POST utilisant le
paramètre

ils nous semble avoir identifié une vulnérabilité permettant l'injection de
requête SQL 'ordre' dans une fonctionnalités du plugin media :
plugins-dist/medias/action/ordonner_liens_documents.php (
https://code.spip.net/?page=proposer_docblock&fichier=plugins-dist/medias/action/ordonner_liens_documents.php
).

Exemple :
POST /
action=ordonner_liens_documents&objet_source=documents&objet_lie=ok&id_objet_lie=1&ordre=id_document))
&& ((SELECT lpad(right(left(pass,56),1),180003,"&") rlike "&+4" FROM
spip_auteurs order by statut ASC limit 4,1

Ces tentatives ont complètement bloqué la base de donnée et donc bloqué le
site sur la page de "site en travaux, connexions a la base sql impossible",
il a fallut reboot la bdd.

Nous sommes en spip 3.2.1 [23375], plugin media v2.20.23, ecran_secu 1.3.11
au moment des fait (1.3.12 aujourd'hui).

De notre compréhension il manque peut être une vérification du paramètre
'ordre' qui est par la suite directement passé à un sql_allfetsel

Un collège a trouver un ticket peut être relatif a cette théorie :
https://www.cvedetails.com/cve/CVE-2008-5813/ (malgré que nous ne sommes
pas en spip2).

Avons nous oublier quelque chose dans notre configuration pour nous
prémunir de ce type d'attaque ou y a t'il vraiment une faille dans cette
fonctionnalitée ?

Merci d'avance pour votre point de vue / retour
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à  spip-...@rezo.net

Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html

Infos : https://listes.rezo.net/mailman/listinfo/spip

Documentation de SPIP : http://www.spip.net/

Irc : de l'aide à toute heure : http://spip.net/irc

Répondre à