Cabecera-v2-web.jpg

Vulnerabilidad de riesgo alto en Concrete5 permitiría a un atacante ejecutar código


Concrete5 es un sistema de gestión de contenidos (CMS, por sus siglas en inglés) de código libre, y permite a usuarios con un mínimo conocimiento técnico editar el contenido de un sitio web directamente desde la página.

¿Qué pasó?

Recientemente ha sido abordada una vulnerabilidad de alto riesgo, la cual afecta a Concrete5 en versiones anteriores a 8.5.3, la misma ha sido identificada con el CVE-2020-11476.

El fallo se da debido a una falta de restricción durante la carga de ciertos tipos de archivos, específicamente los archivos del tipo: phar, php8, shtml, cgi, pl, phpsh, pht y .htaccess; los cuales no se encuentran en la "lista negra”.

Con esto en cuenta, un atacante autenticado podría agregar el tipo de archivo .phar a la sección de archivos permitidos "Allowed File Types” ubicada en la ruta "dashboard/system/files/filetypes”. Este archivo cargado, podría ser interpretado en ciertos servidores web como código PHP y permitir al atacante ejecutar código en el sistema afectado.

Prueba de concepto (PoC)

Mediante la manipulación del parámetro "Allowed File Types" en el apartado de administracion del portal vulnerable, un atacante podría incluir la extensión de archivos .phar entre los archivos permitidos. Por ejemplo, introducir el código correspondiente a una webshell PHP, con la extensión .phar. Seguidamente, el atacante podría crear un archivo con la extension .phar, cargarlo y mediante la funcionalidad de buscador; localizar la URL exacta de dicho archivo cargado, a través de la característica "Properties".

Finalmente, un atacante o persona con conocimiento de dicha URL podria acceder a este archivo, el cual será interpretado y procesado del lado del servidor como código PHP, permitiéndole ejecutar comandos arbitrarios y comprometer el servidor.

Recomendaciones:

Aplicar el parche de seguridad para Concrete5, disponible en la versión 8.5.3.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11