U radu programskog paketa SetSeed uočen je novi sigurnosni nedostatak. SetSeed je CMS (eng. Content management system) sustav za brzu izradu i implementaciju web stranica. Spomenuta ranjivost javlja se kao posljedica neispravne provjere ulaznih podataka prije korištenja u SQL upitima. To se događa s podacima predanih preko COOKIE parametra "loggedInUser" datoteci index.php kada je onemogućena opcija "magic_quotes_gpc". Svim se korisnicima preporuča nadogradnja na novu, ispravljenu inačicu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-11-058
Naslov: Otklonjena ranjivost programskog paketa SetSeed 
Datum: 2011-11-07
OS: OpenVMS, Microsoft Windows
Programski paket: SetSeed
Tip sigurnosnog problema: pokretanje proizvoljnog SQL koda
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa SetSeed uocena je sigurnosna ranjivost. 

Radi se o CMS (eng. Content management system) sustavu koji se upotrebljava za brzu izgradnju i implementaciju kompletnih web stranica. 

Bitnije od karakteristika su:
- lijepo i jednostavno sucelje,
- sucelje omogucuje svojim klijentima upravljanje sadrzajem,
- omogucuje koristenje vlastitog loga,
- napisan je pomocu stilskog jezika CSS (eng. Cascading Style Sheets) i skriptnog 
jezika JacaScript i dr.

Vise informacija o spomenutom sigurnosnom paketu dostupno je na sljedecoj web adresi:

http://setseed.com/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Propust uocen u radu programskog paketa SetSeed napadacima omogucuje umetanje proizvoljnog SQL koda.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 5.11.2.  

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko COOKIE parametra "loggedInUser" datoteci index.php nisu 
ispravno provjereni prije koristenja u SQL upitima. To se može iskoristiti za manipulaciju SQL upitima umecuci proizvoljan SQL kod.

Uspjesna zloupotreba podrazumijeva da je opcija "magic_quotes_gpc" onemogucena.

Ranjivost je potvrdjena u inacici 5.8.20. Ostale inacice takodjer mogu biti zahvacene.

-------------------------------------------------------------------------------

[5]  Credit

Inforamcije o propustu otkrio je:
Gjoko Krstic, Zero Science Lab.

Tekst izvorne poreporuke nalazi se na sljedecoj web adresi:
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5053.php

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________