The Enigma Group

GENU CMS 2012.3 - Multiple SQL Injection Vulnerabilities


Title:

======

GENU CMS 2012.3 - Multiple SQL Injection Vulnerabilities





Date:

=====

2012-04-30





References:

===========

http://www.vulnerability-lab.com/get_content.php?id=538





VL-ID:

=====

538





Introduction:

=============

GENU is a Content Management System written with PHP language and using a database server (MySQL, PostgreSQL or SQLite) for 

storage. It is fully customisable since it uses a templates system and supports multiple languages.



(Copy of the Vendor Homepage: http://www.gnew.fr)





Abstract:

=========

A Vulnerability Laboratory Research Team discovered multiple SQL Injection vulnerabilities in GENU CMS 2012.3 content management system.





Report-Timeline:

================

2012-04-28:    Vendor Fix/Patch by Check

2012-04-30:    Public or Non-Public Disclosure





Status:

========

Published





Exploitation-Technique:

=======================

Remote





Severity:

=========

Critical





Details:

========

A SQL Injection vulnerability  is detected in GENU CMS 2012.3.

The vulnerability allows an attacker (remote) or local low privileged user account to inject/execute own sql commands 

on the affected application dbms. Successful exploitation of the vulnerability results in dbms & application compromise.



Vulnerable Module(s): 

                                                        [+] posts/search.php

                                                        [+] news/search.php

                                                        [+] comments/search.php





Proof of Concept:

=================

The sql injection vulnerabilities can be exploited by remote attackers without user inter action. For demonstration or reproduce ...



Word in 'search' must consist of at least two characters



PoC:

http://127.0.0.1:8080/GENU/news/search.php?search=xd&match=`news_subject[SQL-Injection]

http://127.0.0.1:8080/GENU/comments/search.php?search=xd&match=`news_subject[SQL-Injection]

http://127.0.0.1:8080/GENU/posts/search.php?search=xd&match=`news_subject[SQL-Injection]





Solution:

=========

In file: /news/search.php

In line 82:

                     AND LOWER(` . TABLE_NEWS . `.` . $_GET[`match`] . `) LIKE  \\`%` . strtolower($search) . `% `



In file: /comments/search.php

In line 77:

                     AND LOWER(` . TABLE_COMMENTS . `.` . $_GET[`match`] . `) LIKE  `%` . strtolower($search) . `% `



In file: /posts/search.php

In line 78:

                     AND LOWER(` . TABLE_POSTS . `.` . $_GET[`match`] . `) LIKE  `%` . strtolower($search) . `% `

                   

Variable $_GET[`match`] is not filtered.

We must in this line`s edit $_GET[`match`] on $match and add code:



In file: /news/search.php

In line 71



In file: /comments/search.php

In line 69



In file: /posts/search.php

In line 69



e.g code:



if(isset($_GET[`match`]))

{

   if ($_GET[`match`] == `news_subject`) $match = `news_subject`;

   if ($_GET[`match`] == `news_text`) $match = `news_text`;

   else $match = `news_subject`;

}





Risk:

=====

The security risk of the sql injection vulnerabilities are estimated as high(+).





Credits:

========

Vulnerability Laboratory [Research Team]  -    snup (snup@vulnerability-lab.com)