Trustwave deckt Sicherheitslücke in beliebtem Website-CMS auf

Cyber Security News

Die Cybersecurity-Firma Trustwave hat eine Sicherheitslücke in dem beliebten Website-CMS Umbraco aufgedeckt. In einem Blog-Beitrag auf der Trustwave-Website beschreiben die Forscher Details zu einem Privilegienerweiterungsproblem, das es Benutzern mit niedrigen Privilegien ermöglicht, sich in den Status eines Administrators zu versetzen.

Das Problem liegt in einem API-Endpunkt, der die Autorisierung des Benutzers nicht ordnungsgemäß prüft, bevor er die gefundenen Ergebnisse an den Logging-Bereich der Anwendung zurückgibt.

Im CMS können Benutzer mit höheren Privilegien, d. h. Administratoren, die Protokolldaten in der administrativen Benutzeroberfläche einsehen, die alle in die Anwendungsprotokolle eingefügten Informationen enthalten. Um das Risiko zu testen, dass diese Informationen durchsickern, erstellt der Administrator einen Benutzer mit niedrigeren Privilegien, der in die Gruppe “Writers” aufgenommen wird. Dies bedeutet, dass der Benutzer mit niedrigeren Berechtigungen nur die Registerkarte “Inhalt” anzeigen kann, was darauf hindeutet, dass er die Möglichkeiten der Schreiber innerhalb der Anwendung einschränken möchte.

Der Benutzer mit niedriger Privilegierung authentifiziert sich dann bei der Anwendung und erhält die erforderlichen Cookies und Header für den Zugriff; mit diesen Kennungen kann der Benutzer mit niedriger Privilegierung dann auf den API-Endpunkt zugreifen, der Protokolldaten zurückgibt, die nur für den Administrator verfügbar sein sollten.

Trustwave fand heraus, dass der Grund dafür darin liegt, dass die Klasse LogViewerController in der Umbraco.Web.dll keine granularen Autorisierungsattribute für ihre exponierten Endpunkte verwendet, was bedeutet, dass zahlreiche Endpunkte für weniger privilegierte Benutzer zugänglich sind.

Jonathan Yarema, Managing Consultant, SpiderLabs bei Trustwave, kommentiert in dem Blog: “Umgekehrt gibt es andere Bereiche, die Ressourcen schützen, wie der UsersController, in dem einige Methoden explizit auf administrative Benutzer beschränkt sind (“[AdminUsersAuthorize]” Attribut) oder anderweitig dem Controller die Erlaubnis geben müssen (“[UmbracoApplicationAuthorize]”). Ein ähnlicher Ansatz sollte für den LogViewerController verwendet werden, um den unberechtigten Zugriff auf seine Daten zu begrenzen.”

Das Problem wurde in den Umbraco Versionen 8.9.0 und 8.6.3 beobachtet.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com