{"id":40038,"date":"2021-06-09T15:15:43","date_gmt":"2021-06-09T13:15:43","guid":{"rendered":"https:\/\/www.pentestfactory.de\/vulnerabilities-in-ftapi-4-0-4-11\/"},"modified":"2024-07-26T10:30:46","modified_gmt":"2024-07-26T08:30:46","slug":"vulnerabilities-in-ftapi-4-0-4-11","status":"publish","type":"post","link":"https:\/\/www.pentestfactory.de\/en\/vulnerabilities-in-ftapi-4-0-4-11\/","title":{"rendered":"Vulnerabilities in FTAPI 4.0 – 4.11"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Um unsere Infrastruktur gegen Angriffe abzusichern, sind interne Penetrationstests ein fester Bestandteil unserer Strategie. Wir pr\u00fcfen dabei besonders die Systeme, die zur Verarbeitung von Kundendaten eingesetzt werden. In einem Penetrationstest unserer Dateiaustauschplattform FTAPI konnten wir dabei die folgenden Schwachstellen identifizieren.<\/p>

Nach der Entdeckung haben wir die Schwachstellen an den Hersteller weitergeleitet, womit diese im n\u00e4chsten Release geschlossen werden konnten. Weitere Details finden sich hierzu am Ende des Beitrags.<\/p>

\u00a0<\/h4>

CVE-2021-25277: FTAPI Stored XSS (via File Upload)<\/h4>

Die Webanwendung ist anf\u00e4llig f\u00fcr \u201eStored Cross-Site Scripting\u201d: Der Dateiupload der Applikation erlaubt es Dateien mit unsicheren Namen hochzuladen. Beim Hovern \u00fcber das Dateinamensfeld wird ein Alternativtext-Element eingeblendet (siehe folgender Screenshot), was den Dateinamen zeigt. Dieses dynamisch eingeblendete Element nimmt keine Filterung des Dateinamens auf b\u00f6sartige Zeichen vor, wodurch eine XSS Schwachstelle entsteht.<\/p>

\"\"<\/p>

Abbildung 1:<\/strong> Verwundbares Alternativtextfeld der Dateinamens-Box<\/p>

Proof-of-Concept<\/strong><\/p>

Beim Hochladen einer Datei mit dem folgenden Namen, wird exemplarisch eine Alert-Box ausgef\u00fchrt, um die Schwachstelle zu visualisieren:<\/p>

\"\"<\/p>

Abbildung 2:<\/strong> Proof-of-Concept Dateiname mit alert() Ausf\u00fchrung<\/p>

Damit der Upload erfolgreich ist, darf die Datei nicht leer sein. Sie l\u00e4sst sich mit dem folgenden Linux Befehl erzeugen:<\/p>

echo \"test\" >> \"<iframe onload=alert('Pentest_Factory_XSS')>\"<\/pre>
Das Dateinamensfeld wird nicht nur beim Upload, sondern auch f\u00fcr den Empf\u00e4nger beim Abruf der Datei eingeblendet. Somit kommt es auch hier zu einer Ausf\u00fchrung unseres Codes, sobald die Maus das gr\u00fcne Datei-Feld ber\u00fchrt:<\/p>
\"\"<\/p>
Abbildung 3:<\/strong> Proof-of-Concept alert() wird in der Inbox des Opfers ausgef\u00fchrt<\/p>
\u00a0<\/h4>
CVE-2021-25278: FTAPI Stored XSS (via Submit Box Template)<\/h4>
Die Webanwendung ist anf\u00e4llig f\u00fcr \u201eStored Cross-Site Scripting\u201d: Administrativen Nutzern ist es m\u00f6glich das Submit Box Template zu \u00e4ndern. Hierbei existiert eine Funktion zum Hochladen von Hintergrundbildern. Die Uploads werden dabei nicht auf b\u00f6sartige Inhalte gefiltert, was es einem Angreifer erlaubt, eine SVG Datei mit eingebettetem XSS hochzuladen.<\/p>
\"\"<\/p>
Abbildung 4:<\/strong> Verwundbarer Hintergrundbild-Upload im Submit Box Layout Editor<\/p>
Proof-of-Concept<\/strong><\/p>
Um die Schwachstelle exemplarisch auszunutzen, kann eine .svg Datei mit folgendem Inhalt als Hintergrundbild hochgeladen werden:<\/p>
<?xml version=\"1.0\" standalone=\"no\"?>
<!DOCTYPE svg PUBLIC \"-\/\/W3C\/\/DTD SVG 1.1\/\/EN\" \"http:\/\/www.w3.org\/Graphics\/SVG\/1.1\/DTD\/svg11.dtd\">
<svg version=\"1.1\" baseProfile=\"full\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\">
\u00a0\u00a0 <polygon id=\"triangle\" points=\"0,0 0,50 50,0\" fill=\"#009900\" stroke=\"#004400\"\/>
\u00a0\u00a0 <script type=\"text\/javascript\">
\u00a0\u00a0\u00a0\u00a0\u00a0 alert('Pentest Factory XSS');
\u00a0\u00a0 <\/script>
<\/svg><\/pre>
\u00a0<\/pre>
Die hochgeladene Datei wird im Verzeichnis \/api\/2\/staticfile\/ gespeichert und f\u00fchrt zu XSS, sobald diese aufgerufen wird:<\/p>
\"\"<\/p>
Abbildung 5:<\/strong> Stored XSS in Suchfunktion<\/p>
\u00a0<\/h4>
M\u00f6gliche Auswirkungen<\/h4>
Ein Angreifer, der eine der Cross-Site Scripting Schwachstellen ausnutzt, k\u00f6nnte unter anderem folgende Angriffe ausf\u00fchren:<\/p>